Криптор VS Антивирус⁠⁠

Так как я углубился в данную тему,и со временем понял что люди,которые

приобретают вирусный софт совсем не разбираются в его работе,как он

устроен,как его ловят ав,да и вообще,кроме основных функций,ничего не

понимают,я решил написать данную статью.

Рассказывать что такое вирус я не буду,это знает даже школьник.

Противостояние будет Ботнет VS Антивирус.

Все владельцы ботнетов наверное знают что при создании билда,вы получаете

файл весом 25-100кб.

Соответственно ни один такой файл не выполнит всех заявленных функций ботнета,

так как это обычный лоадер.

Далее уже этот лоадер грузит с сервера нужные файлы и модули,и вы получаете отстук,логи,

скриншоты экранов,и т.д,все что заявленно в ботнете.

Теперь мы берем ваш лоадер и криптуем,получаем чистый файл,и как многие думают

"ура,нам АВ не страшен"Вы заблуждаетесь!

После попадания на ПК жертвы,АВ действительно без проблем пропустит ваш лоадер,но как только

он начнет грузить файлы с сервера,и они будут грязными,АВ их блокнет,и ни одной из заявленных функций

ваш ботнет не выполнит.Итог:Нужно чистить файлы на сервере,ни один криптор это не в силах сделать.

Далее,поведение вируса.Если ваш ботнет попал в лабораторию,и там его привязали по поведению,даже в

чистом виде АВ его может снести,просто за то,что он выполняет действия,которые занесены в базу АВ.

Итог:Софт нужно обновлять,и всегда следить за ним и дорабатывать.

Инженк.Когда создавался мой криптор,он изначально был разработан для инжекта в процесс,но

в итоге отказался работать с большинством продаваемого софта.Пришлось дорабатывать

инжект в себя.Теперь разберем плюсы и минусы.

Когда вирус в чистом виде не инжектится,криптор делает это за него,и в итоге вирус попадает в процесс,

к которому АВ не имеют доступа,и он считается доверительным.Проще говоря,нет "тела",нечего ловить.

Вот небольшой пример,после установки ратник должен лечь сюда

Мы отключаем у него функцию инжекта,инжектим его криптором в процесс и кидаем на комп.

Он отстукивает

Идем на комп,включаем "показывать скрытые файлы и папки"

Идем в директорию где должен лежать вирус,и...

а его там нет,и ни какой АВ его не убъет,так как он теперь в процессе.

К примеру при прохождении тестов был закриптован и распространет ратник,не имеющий по дефолту инжекта,

стаб прожил более мсяца.

Теперь берем инжект в себя.Мне тут написал один человек,мол я закриптовал твоим криптором,сделал 2к

инсталлов и стаб поймал 8 ген детектов.Как так то???А все очень просто,он криптовал вирус,который

1.Его вирус давно в базах практически всех АВ.

2.Его вирус изначально уже инжектится по дефолту.

3.Даже с такими показателями,он поймал только ген детекты и не засветил свой вирь.

Так что же такой инжект в себя,по простому,инжект в процесс,это сходить в туалет,а в себя,это обосраться

в штаны.Когда вирус инжектится в себя,то он выплевывается не в процесс,откуда его АВ не достанет,а туда,куда

указал разработчик софта.Я провел небольшей эксперемент,закинул человеку с дефендером 2 склееных вируса,один это давно

засранный ратник,имеющий по дефолту детект 32/38,но который не инжектится сам,и второй софт,который

сейчас продается,имеет средний детект 9/38 и инжектится по дефолту.Итог был ожидаем,склеин файл после крипта

успешно стал,ратник успешно его поимел и отстучался,а вот второй софт умер.И напомню,ратник паблик и есть во всех

базах АВ.Вывод думаю ясен,инжект виря по дефолту есть не очень хорошо,ни один криптор его не защитит,если он

был уже спален АВ.Исключение только те вирусы,которые не имеют подгрузку с сервера,либо имеют,но файлы там чистые.

Так вот к чему я это все,прежде чем кричать что вам кто-то плохо закриптовал,

ваш файл наловил после 2к инсталлов 8 ген детектов

(до сих пор смеюсь)Разберитесь на сколько хорош сам ваш вирус.А разработчикам совет,выпустили софт,так следите за ним,обновляйте,дорабатывайте.