продолжение вчерашнего вечера, по поводу детекта вмп антивирусами. безобидный hello world на си, собраный mingw 4.9 32bit. накрытый вмпротом 3,0,9(находится в инете).

на вирустотале 11 из 64 говорят что вирус

петя накрытый вмпротом(но демо версией 3,1,2, ибо другая не справилась, и падала)...

в этом и проблема :)

https://viruscheckmate.com/id/lazWvWJqtFUZ

любопытно, что блокнот под вмпротом 3 версии показывает чистым :)

тут ещё важен размер файла, обычная структура, код, ресурсы...

https://virustotal.com/ru/file/918e2f34c9d917648f0eae224a697d9c52aceb040f1252de534b306ef3f83827/analysis/1502004129/

Baidu Win32.Trojan.WisdomEyes.16070401.9500.9999 20170804 Bkav HW32.Packed.593A 20170805 CrowdStrike Falcon (ML) malicious_confidence_80% (D) 20170710 Cylance Unsafe 20170806 Endgame malicious (high confidence) 20170721 Sophos ML heuristic 20170607 Rising Malware.Heuristic!ET#98% (rdm+) 20170805 SUPERAntiSpyware Trojan.Agent/Gen-Sinar 20170805 Symantec ML.Attribute.HighConfidence 20170805 WhiteArmor Malware.HighConfidence 20170731

петя накрытый вмпротом(но демо версией 3,1,2, ибо другая не справилась, и падала)...

практически тоже самое что и у меня

да

но viruscheckmate показывает чисто, хоть и 4 ошибками

тоесть это список тех антивирей которые нужно обходить 🙃

я думаю, что автору вмпрота следует сотрудничать с крупными ав и скорей всего так и есть

иначе бы здесь был не десяток в основном зарубежных АВ, а палили бы все кроме десятка...

Подытожим. Всякая собака, что использует для защиты своей интеллектуальной собственности чудные формы для метаморфозы кода, легко и без проблем может втюрить нам парнокопытную скотину? опенсорс рулит

да именно

Лучше бы даже я не выразился

впрочем зашивать свой код в протэктор проще чем просто к факту

файлу

посколько протэктор его сразу же обламает эмуляторы

Кстати по поводу вчерашнего блокнота

под вмп старым

Структура дествительно очень схожа с 2.хх

Но есть большие отличия от 3.хх

и как сказал хороший человек

то эта вм изи анализиться

Ибо в открытую лежит табличка хендлеров

Ну типа вот так

но это не точно

ибо я рукожоп

позже попробую написать мапер для вм

что бы мапил хендлеры

где какой

До вечера не напишешь мне кто ты и зачем добавился в наш уютненький -- уйдёшь в бан. Stay tuned to our little chan, comrades!

Человек из геймдевного чата

Человек из геймдевного чата

он там писал что-то?

он там писал что-то?

Я на продот там кинул ссылку. Спросил про чаты про языки программирования. Появился там сегодня, но общается по теме.

а, ок, поверим, сделаем chmod +w тогда

а, ок, поверим, сделаем chmod +w тогда

О, мы в него писать теперь сможем? А он символьное или блочное устройство?

xor AlexDark, AlexDark

xor Alex Dark, Alex Dark

Всё равно не работает

;(

invoke GetCommandLine

.data:00401000 ; Segment type: Pure data

всегда бы Pure

не знаю что это, но я его нашёл случайно... тут прямо таки куча учебников на любую айти тематику http://index-of.es/

и два http://index-of.co.uk/

архивы разные

гугль про эти сайты практиски нечего не даёт

хз что это, но прикольно)

если загуглить "z0ro Repository"(с кавычками) - то оказывается их(сайтов) много. и на каждом уникальная инфа

а у меня он был

могу ещё пару интересных блогов подкинуть

http://eax.me/

http://www.manhunter.ru/

http://www.manhunter.ru/

это знаю =)

не знаю что это, но я его нашёл случайно... тут прямо таки куча учебников на любую айти тематику http://index-of.es/

Чет на спам похоже

http://eax.me/

за это спасибо

Чет на спам похоже

вроде куча годноты

https://vxlab.info/

открыл несколько случайных книг случайной тематики - вроде ок

https://vxlab.info/

тоже знаю, "Создаём скрытый TeamViewer #N" читал там)

(:

Фигня какая-то у меня инфа солидней

так давай, делись ;)

(хотя я и ту всю не перечитаю 😅)

У меня все шифрованно по самые гланды, половины вообще на маке нет, да и смысл тебе от книжек по cpp?

ааа... cpp... а там то всё что хочеш есть, практически на любую тематику

по цпп качественно оформленные презентации для лекций ещё нашёл... http://staff.mmcs.sfedu.ru/~dubrov/

но всё же основная тема - взлом всего что движется

может запилить облако для про.асм с шифрованием, с тем же boxcryptor под интересные файленги? :)

а зачем шифровать

это обсуждаемо...

можно не шифровать

но само облако с полезной инфой было бы полезно, коллективный маст хэв