КРИПТОВАНИЕ И ЧИСТКА СТАБА

[НЕ ДОПИСАНО]

Это руководство, в отличие от прошлого материала, — прогрессивное продолжение по теме «Как скрыть зловред от детекта антивирусом?». Сначала разберём из чего состоит криптор и как его написать, а затем научимся вычищать сигнатуру. Прежде чем лезть в эти дебри разберёмся немного в теории.

ЦИКЛ СТАТЕЙ TROJAN

  1. НАСТРОЙКА DARKCOMET-RAT
  2. НЕДОКРИПТ SFX
  3. РЕДАКТОР РЕСУРСОВ
  4. КРИПТОВАНИЕ И ЧИСТКА СТАБА

ТЕОРИЯ

Сигнатура — это кусок кода, который указывает на принадлежность к программе. Именно по сигнатуре антивирусы палят зловреды. Если этот кусок кода изменить на тот, который антивирус не знает, то он не задетектит. В этом и заключается задача криптования.

Чистка стаба — в буквальном смысле чистка сигнатуры в HEX редакторе или отладчике, или автоматическая замена с помощью программ.

Криптор — алгоритм, который шифрует оригинальный код зловреда разными способами, чем делает его неузнаваемым.

Обфускатор — алгоритм изменения кода до неузнаваемости с помощью огромного количества лишних примитивных действий, чтобы скрыть истинные. Функции обфускатора:

  1. криптографию публичного ключа (public key encryption)
  2. короткие цифровые подписи (short signatures)
  3. неинтерактивные доказательства с нулевым разглашением (NIZKs — Non-Interactive Zero Knowledge Proofs)
  4. забывчивую передачу (Oblivious Transfer)
  5. протокол конфиденциального вычисления (Multi-party computation protocols)
  6. протокол вещания (Broadcast encryption)
  7. оспариваемое шифрование (Deniable encryption) (в этой схеме можно предоставить ложный ключ к шифру, которые расшифрует все посланные вами сообщения во что вам угодно)
  8. вместе с полностью гомоморфным шифрованием, дают функциональное шифрование (Functional Encryption)
  9. итд…

Конструктор

ПРАКТИКА

МАТЕРИАЛЫ

  1. Wikipedia — Обнаружение, основанное на сигнатурах
  2. Wikipedia — Криптор
  3. Chameleon Offset Locator
  4. Хабр — Обфускация программ
  5. Wiki — Обфускация (программное обеспечение)