Anonymous
чтобы строки при де шифровки
bilka00
Завтра скину линк
Anonymous
были неверны
bilka00
Для вызовы через жопу
Anonymous
я строки специально сделал не верными..
Anonymous
ну на реестр агриться в общем
Anonymous
на апи реесра
Anonymous
*т
bilka00
я могу свой дать, если найду, он как-то нормально так срезал каспера очень долго, пока я не перестал его использовать
Проще всего через установку обработчика исключений
Он хер уже знает сколько не палиться
Dmitry
да ладно, до сих пор, что ли?
bilka00
Да
Anonymous
деление на ноль чтоле
Dmitry
ну ставишь обработчик исключения, потом делаешь какую-нибудь херню типа деления на ноль, да
Dmitry
в обработчике исключения вызываешь свой злой код
Dmitry
это если очень упрощенно
bilka00
Я стэк переполнял обычно)
Anonymous
да не такой он уж и злой.. )))
Anonymous
тупо ветку реестра открываю
Anonymous
так понял
Anonymous
на что агриться..
Anonymous
открываю ветку реестра и тут же делаю чтение
на это
Anonymous
надо инструкций напихать
Anonymous
бесполезных вызовов
vient
просто открываешь и читаешь, и он сразу детектит?
Anonymous
+
vient
суперзащита
Anonymous
ну т.к.
Anonymous
ты еще спай шелтер не видел
Anonymous
там вообще даже смд запустить нельзя
Anonymous
все блочит
Anonymous
😁😁
vient
значит ты что-то очень специфичное читаешь
Anonymous
нет
Anonymous
в общем на RtlZeroMemory это агрится
vient
суперстранно
Anonymous
я о том же..
vient
впрочем, проактивно потенциальный вирус отловлен, это круто
Dmitry
странно, да
vient
хвала касперскому
Anonymous
в том то и дело что не вирус
Anonymous
ну тк.
Anonymous
бред кароче.. на очистку памяти агриться...
Dmitry
потому что он палится обычно как? ты вызываешь нативную функцию, она уходит в ядро, там она перехвачена, если потенциально опасна - делается дамп памяти кода вызвавшего функцию, если там что-то находится, то косяк
Dmitry
так а если убираешь, перестает палиться
Dmitry
?
Anonymous
да
Dmitry
ну дык и хуй с ней тогда :)
Anonymous
на ZeroMemory тоже агриться
Anonymous
дак а че надо то буффер очишать
Anonymous
😕😕
Dmitry
ZeroMemory и есть RtlZeroMemory
Dmitry
дефайн на него
vient
очищай вручную значит :)
Dmitry
да насколько я помню, там не слишком-то и надо
Anonymous
если вообще на фулл натив апи перейти
то я представляю что там будет
Dmitry
можно вообще апи не звать классически из ntdll
Dmitry
а звать через sysenter :)
Anonymous
ладн щас буду чистить буффер вручную.
Anonymous
бля
Anonymous
привык уже к RtlZeroMemory
Anonymous
😕😕😕
⸙ꠋꠋk̹̺ Seymøur
Эвристикой палится,смотри внимательно на порядок вызовов процедур в асме и не пытайся запутать набиванием лишних
Человек-Даук
когда один "айтишнег", такой патлатый говнарь в футболке АРЕЯ, видит другого человека, разбирающегося или начинающего разбираться в чем-то из computer science - сразу начинает "ЧОЧОЧО ТЫ ТАМ ПИШЕШЬ ХЕЛЛОУВОРЛД АХАХАХА?", "КАКОЙ ЯЗЫК ПРОГРАММИРОВАНИЯ ЗНАЕШЬ РУССКИЙ МАТЕРНЫЙ ЧТО ЛИ?", "ПОПРОБУЙ ПОДРОЧИТЬ МОЖЕТ И НЕ ЗАХОЧЕТСЯ КОДИТЬ ОЛОЛО", короче уебанство полнейшее
ну вообще я всегда говорю что типо айти это не работа и вообще пусть занимаются делом:проектируют мосты, краны, пилотируют самолеты, курят матан и т.д.
Человек-Даук
Эвристикой палится,смотри внимательно на порядок вызовов процедур в асме и не пытайся запутать набиванием лишних
а разве в асме нельзя нашументь финтами типо прогулки по стеку и прыжкам ? Или антивирус спалит это ?
⸙ꠋꠋk̹̺ Seymøur
Типо того,на jmp на одном шаге анализа смотреть не будет
vient
а разве в асме нельзя нашументь финтами типо прогулки по стеку и прыжкам ? Или антивирус спалит это ?
вряд ли это сильно хипсу помешает
Dmitry
он свернет все прыжки
Dmitry
антивирус нормальный
Dmitry
push/ret тоже свернет
Dmitry
там эмуляторы не идиоты делают
IB
Anonymous
доброго времени суток.. господа..
Anonymous
у меня вот такой вопрос..
сколько байт я могу засунуть в реестр типа RED_DWORD
Anonymous
знает кто?
Anonymous
REG_BINARY*
Anonymous
да я уже смотрел этл
Anonymous
в бинарном можно засунуть до 100мб
Anonymous
вроде
Anonymous
GUI на апи делал ктонить?