Криптование Вируса.
Сегодня мы будем говорить в этой статье про Криптования вирусов и ещё парочка интересных вещей. Наливайте чаек, будет интересно. 🔥
Начнем с того, что такое крипт и криптование вирусов ? Получаем: Криптование выполняется при помощи криптора.
Криптор - Программа служащая для скрытия различного типа вирусов от антивирусов. Простыми словами обход антивируса. Чтобы вирус попал к жертве ему необходимо еще пройти преграду --> антивирус, который его заблокирует, в этом нам поможет криптор.
Посредством криптора шифруется оригинальный программный файл и в его начало записывается код, при запуске выполняющий расшифровку и выполнение зашифрованной программы. Самый простой пример — распространение вирусов или троянов в запароленных архивах, где антивирусная программа не может их обнаружить. Ещё есть методы криптования. Например: Подделывать подпись программ, Обфускация кода через специальных программ, Лоадеры и т д Все эти программы являются инструментами для криптования вирусов — Криптор При правильной совмещение даже бесплатных программ, можно получить идеальный результат. Есть такой термин в этой сфере как FUD Crypt, то есть Full Undetected — полностью не находимый, то есть криптор спрячет ваш файл от всех антивирусов потому что у него уникальный код, который еще не попал в базы данных антивирусных компаний.
Виды крипторов:
Stub - стабовый криптор состоит из двух программ — криптора и стаба. Стаб является отдельной программой, при крипте вирус связывается с кодом стаба, в результате творения антивирус распознает его как безопасный потому что такая связка ему не знакома, но стоит залить стаб криптора или криптованный таким криптором вирус на VirusTotal или другие не безопасные сервисы, как через несколько часов все файлы криптованные этим стабом будут детектиться антивирусами.
Polymorph - полиморфный, уникальный тип крипторов, уникальность заключается в том что каждая последовательность крипта вируса — будет иметь уникальный код для каждого, вызов API и добавление разного кода команд в код делает его срок службы долгим, если автор творения перестанет его чистить то вскоре и он будет под детектом антивирусов.
Головная боль...
Время углубиться ещё глубже и разобраться: Scanime, Runtime, Browser Detection, SmartScreen и многое-многое другое!
Что такое крипт разобрались. Теперь идем дальше. Рассмотрим популярные вопросы, о котором мало кто понимает в общем и целом, и над некоторыми аспектами в частности. Рассмотрим все системы защиты от А до Я по порядку:
- Bworser Detection — это обозначает «способность» файла проходить проверку браузера и не выдавать разного рода уведомления (файл опасный, файл потенциально опасный, файл редко скачивается, файл заблокирован и т д). Прогруз должен работать просто – файл скачался и готов к открытию. Абсолютно все чисто и гладко.
- Scan Time – Антивирус проводит проверку прямо внутри браузера при скачивании файла. За успешное прохождение отвечает хороший крипт. Эта опция иногда может быть отключена, у некоторых антивирусов, таким образом, Scan Time проверка выполняться не будет.
Проведем промежуточный итог — для того чтобы файл загрузился без проблем и без уведомлений, должны быть пройдены 2 системы защиты — браузера и антивируса.
- Run Time – при запуске файла антивируса начинается активно его проверять по своим сигнатурам. За прохождение отвечает крипт, который должен выдержать эту проверку. Если что-то не понравилось — Пора вам домой. Мы ещё успеем поговорить про разницу между Scan Time и Run Time. Думаю нужно для Run Time выделить отдельный блок в статье. Некст...
- Smart Screen — Как по мне очень заразная вещь. Система проактивный защиты, не связанная с антивирусом. Проверяет подпись файла и его сертификацию. Если что-то не нравится, начинает задавать вопросы на тему: «Уверены, что хотите запустить файл?». Рассмотрим отдельно, ибо информации могут вас запутать. Некст...
Окончательный Итог — Чтобы файл запустился без проблем должны быть пройдены еще 2 системы защиты — динамической проверки антивируса и SmartScreen.
- Не заливай свой криптованный вирус на онлайн проверки!
- Для теста всегда используй виртуальную машину — Всегда!
- Можешь заливать нерабочие билды на Virus Total. Сначала сам не криптованный билд, а после этого криптованный. Это нужно для определения качество крипта, чтобы ты знал насколько твой метод харош.
- Комбинируй софты и попробуй разные методы. — Это очень помогает.
- Не забывайте, что проверка и тест на живых антивирусах убивает качество крипта. Данный метод используется только для проверки качества криптосервиса, а не для постоянной проверки криптованного билда
Что такое Run Time и разница между Scan Time ?
Когда вы запускаете файл, антивирус сканирует его и убеждается, что опасности процесс не представляет. А файл между тем делает свои темные делишки. Уже исходя из этого, можно убедиться, что процесс чистки Run Time намного сложнее, чем сделать чистый Scan Time. Отсюда можно сделать выводы, что чистота Run Time зависит большей частью от чистоты билда, которым занимается создатель вашего софта. Этап криптования на стадии Scan Time и Run Time — это совершенно две разные операции, лежащие в совершенно разных областях! Сравнивать их между собой бессмысленно...
Browser Detection...
Обход защиты браузера — это твой первый шаг. В идеале, должен быть без траблов и все гладко. В ином случае — пора тебе домой. Проверка файла браузером и антивирусом — это две разные вещи. Подготовить файл для прогруза в браузере задача сложная и многофакторная. Решение этой задачи никто тебе даром не будет палить. Сверху ещё добавим тот факт, что гугл на месте не стоит и постоянно появляются новые методы детекта. В общем от нас требуется для обхода защиты браузера минимум: Подпись, Подделенный Сертификат, Криптованный билд и чистый IP — Можно по разному комбинировать и для себя найти баланс. Как вы уже поняли криптования вирусов и его подготовка к обходу защиты браузера — это совершенно разные вещи. Я тут и так для вас все упростил, да бы сэкономить время и получить базу. Можно каждый аспект разобрать подробно и ещё глубже. В итоге получиться не статья, а уже 1/3 книги по вирусологии. Сейчас главное мы не должны путать разницу между криптом и остальными этапами. Блин как же я обожаю эту сферу...
SmartScreen — Главный босс...
Шао Кан во вселенной криптования вирусов. Самая дерьмовая вещь и очень бесит. Как он работает мы же знаем. В его работе логики отсутствует. Иногда такие шляпы устраивает просто словами не описать. Например пропускает г*вно через защиту, а купленный допустим индивидуальный крипт х** пройдет через него. Тут только на помощь приходит PowerShell скрипты и правильный подход. Простыми словами SmartScreen — это как бухой ученый. Иногда его алгоритмы тупят, а иногда пипец жалко криптографов. Как найти реально рабочий способ ? Увы гарантированный и универсальный 100 % метода обхода не существует. Можно приблизительно получить абсолютный крипт и не более. Идем дальше...
Итоги...
Хочу сразу сказать, что я не пишу эту статью для рекламы своих услуг) Я чисто нейтрально отношусь ко всему этому. Если человек выбрал для себя темную сторону — это его выбор. Цель данной статьи заключает в ознакомительных целях. Если обсудить цены в даркнете, там по-разному. Хорошего криптографова можно даже найти в клирнете. Тут нужно учитывать качество самого софта — я про Run Time. Цена примерно выходит на рынке за средний хороший крипт 50-100 $. Ещё раз скажу, что я не предоставляю такие услуги. Мне интересно это в целях ознакомления. Мне честно давно не хочется писать про вещей связанное с Виндовсом + упоминать его. Это так скучно и глупо, но пока что Виндовс в рейтинге выше чем линукс и люди дальше пользуются им. Думаю сегодняшняя статья была очень интересной и не сложной. Я стараюсь каждый раз упростить даже упрощенные вещи. Надеюсь я нигде не пропустил какие-то важные детали и оставил вас без него. Кстати про Лоадеров я планирую пилить статью, по этому должен пропустить его здесь. Я вам дал базу, а остальное думаю вы можете найти в ютубе + гугле. Если что в даркнете и клирнете достаточно скамеров, которые обещают FUD крипт за 10 баксов. Итог вы знаете... Я устал пора пойти открыть бутылку вина и не забыть взять плетку собой. 🍷
С вами был Томми, подпишитесь на блог, до встречи Господа. 🍷 Про телеграмм не забудьте, я там планирую больше качественный контент пилить.