sugestii FUD

[begood]

http://rstcenter.com/forum/24235-emulation-awareness-offensisivec0ding.rst

Pe scurt ideea ar fi sa detectezi daca aplicatia ta este rulata intr-un mediu virtualizat, daca da, o faci sa ruleze intr-un fel, daca nu, in modul ofensiv.

Mai o chestie ar fi sa pui un delay cand este executata functia ta.

La scantime poti evita in felul asta daca nu ma insel chiar toate av-urile, la runtime mai greu.

Majoritatea userilor nu isi pun parola la setarile din firewall/av, folositi asta in avantajul vostru. Modificati din memorie setarile, sau pe disc.

[Nytro]

Pentru scantime e usor de trecut de un antivirus. untime e ceva mai greu, dar nu foarte dificil.

Sunt multe "Anti-Shits" care detecteaza daca sunt detectate in mediu virtual sau daca e pornit vreun debugger si alte prostii, sunt surse publice care se pot implementa.

Delay-ul ajuta la VB6, la main, e de preferat un Timer in locul Main-ului.

Ce setari la firewall? Cat despre "accesul" la un AV, nu prea se poate, decat foarte naspa, au Self-Defence, Kaspersky cel putin are driver de nivel ring0, si am inteles ca si daca scapi de el, dupa reboot ai probleme...

[Usr6]

maj crypterelor sunt fud doar la setarile "default" ale antivir -bazat pe semnaturi, heuristic minim eventual lipsa-daca cresti nivelu de analiza heuristica cam dispare FUD-ul;)

alta buba e :

default, maj antivir trimit fisierele suspecte la analiza aprofundata pe serverul lor, luat la puricat manual iar dispare fudu (iar o data descoperit de un antivir e chestiune de cateva zile pana il gasesc si restu)

de aia e bine sa stii cu ce antivirus te confruntzi, testezi crypterul respectiv in conditi similare, eventual poti modifica /hosts sa blochezi anumite siteuri de scan(este un crypter celebru care face asta , nu dam nume)/updateurile etc.

pt a evita rularea in masine virtuale fara a da de banuit ca ii vb de un virusache se poate face si asa:

1buc crypter cu optiunile de anti activate toate

1buc binder simplu

se crypteaza virusache, se binduiesteste cu un progr oarecare si gata , eventual se adauga un delay mic la virusache

-------

dar cum toti cauta FUD sa faca spread peste tot si fura orice nu conteaza numa sa aiba loguri la greu... (chiar daca nu fac nimica cu ele, dar sa fie acolo) nu e de mirare ca azi e fud, maine e UD, poimaine e 90%detected

[Paul4games]

maj crypterelor sunt fud doar la setarile "default" ale antivir -bazat pe semnaturi, heuristic minim eventual lipsa-daca cresti nivelu de analiza heuristica cam dispare FUD-ul;)

alta buba e :

default, maj antivir trimit fisierele suspecte la analiza aprofundata pe serverul lor, luat la puricat manual iar dispare fudu (iar o data descoperit de un antivir e chestiune de cateva zile pana il gasesc si restu)

de aia e bine sa stii cu ce antivirus te confruntzi, testezi crypterul respectiv in conditi similare, eventual poti modifica /hosts sa blochezi anumite siteuri de scan(este un crypter celebru care face asta , nu dam nume)/updateurile etc.

pt a evita rularea in masine virtuale fara a da de banuit ca ii vb de un virusache se poate face si asa:

1buc crypter cu optiunile de anti activate toate

1buc binder simplu

se crypteaza virusache, se binduiesteste cu un progr oarecare si gata , eventual se adauga un delay mic la virusache

-------

dar cum toti cauta FUD sa faca spread peste tot si fura orice nu conteaza numa sa aiba loguri la greu... (chiar daca nu fac nimica cu ele, dar sa fie acolo) nu e de mirare ca azi e fud, maine e UD, poimaine e 90%detected

Man eu folosesc fly crypter si faceam acum o luna-doua spreanding in prostie,tot timpul stubul&fisierul cryptat era FUD.Dar tot timpul dupa 2 saptamani devenea brusc detectat(peste noapte),nu stiam niciodata de ce pana cand a descoperit un tip ca novirusthanks cu optiunea:"Do not distribute the sample"(unde scanam eu fisierele cryptate&stuburile) trimite fisierele scanate la comaniile de anti-virusi.....acum folosesc scan4you.net si nu am nici o problema+ca timpul de scanare este de 10-15 secunde cand pe novirusthanks era de 2 cam 2 minute!