it-swarm-korea.com

안티 바이러스 탐지를 우회하기위한 크립 터는 어떻게 작동합니까?

바이러스 백신 탐지를 우회하기위한 목적으로 바이러스 및 키 로거와 같은 파일을 암호화하는 데 사용되는 암호에 대해 이야기하고 있습니다. 그들은 어떻게 작동합니까?

23
gbr

일부 서클에서 "crypter"및 "packer"는 자체 검사 및/또는 자체 수정되는 바이너리 또는 프로그램을 의미하는 동의어입니다. 암호화는보다 구체적으로 암호화 및/또는 코드 스크램블링을 포함하는 자체 수정을 의미 할 수 있습니다 (아래 참조).

패커에 대한 입문과 구성 요소 및 아키텍처의 분해에 대한 소개는 Chris Eagle의 IDA Pro Book 을 읽는 것이 좋습니다.

패커 및 자체 수정 코드에 대한 Daniel Reynaud의 작업도 매우 매력적입니다. 그는이 블로그 게시물에서 패키저 시각화 및 자체 수정 프로그램 에 대한 무결성 검사, 블라인드 쓰기, 코드 스크램블링 및 PE 파일 암호화를 구분합니다. 동적 바이너리 인스 트루먼 테이션을 사용하여 패커에서 이러한 다양한 기술 구현을 확인하는 그의 조잡한 시스템 (이 방법은 가장 좋은 방법은 아니지만 다른 방법과 비교할 때 매우 빠를 수 있음)은 https : // code)에 있습니다. google.com/archive/p/tartetatintools/

14
atdre

메타 스플 로이트 프레임 워크에서 encoders 일부를 살펴볼 수 있습니다. 특히 Polymorphic XOR Additive Feedback Encoder (Shikata Ga Nai))바이러스 백신 우회 탐지.

11
Mark Davidson

바이너리에서 새로운 바이너리를 생성하고 디스어셈블러가 이해할 수없는 다른 서명을 사용하여 원래 코드로 돌아 가기 위해 메모리에서 압축을 풀 수있는 패커 간의 차이점을 만들 수 있습니다. 그리고 바이너리에서 새로운 서명을 가진 새로운 바이너리를 만들어 다형성이 가능하지만 런타임에 그가 실행할 때마다 자신의 서명을 편집하는 패커가 있습니다.

변성 엔진을보고 싶다면 내 코드를 볼 수 있습니다 (엘프 전용) : AD_1DA

몇 가지 멋진 논문 : https://vx-underground.org/papers.html (특히 감염 범주가 매우 시원합니다)

0
n4sm