Основан 26 Июля 2013 года
freehacks.ru fhacksnplmzxaaoo.onion
ДДОС СЕРВИС
Магазин Qiwi,Yandex Кошельков

Показано с 1 по 7 из 7
  1. #1
    TopicStarter
    Аватар для sata-ata

    Статус
    Offline
    Регистрация
    29.10.2013
    Сообщений
    3,233
    Репутация
    332 + / -
    Программист

    Криптотрюк против реверс-инжиниринга

    Скоро жизнь антивирусных компаний может сильно усложниться. «Конец (простого) анализа зловредов », — [Только зарегистрированные могут видеть это. ] в твиттере известный торговец эксплоитами the grugq, когда увидел анонс хакерской конференции [Только зарегистрированные могут видеть это. ] со списком докладов. Конференция пройдёт в марте в Сингапуре.
    Не совсем понятно, как конкретно происходит дешифровка. Остаётся надеется, что на конференции 26-27 марта автор всё подробно разъяснит.

    Среди докладчиков [Только зарегистрированные могут видеть это. ] Якоб Торри (Jacob Torrey), который намерен представить новую схему шифрования исходного кода программ под названием Hardened Anti-Reverse Engineering System (HARES).

    Технология предусматривает, что код программы расшифровывается непосредственно процессором в последний момент перед исполнением. Это затрудняет анализ программы инструментами для реверс-инжиниринга. Такой анализ, как известно, проводится для изучения образцов вредоносного ПО, декодирования функций программы с целью снятия защиты от копирования и т.д.

    «Это делает приложение полностью непрозрачным, — [Только зарегистрированные могут видеть это. ] Якоб Торри, который работает в нью-йоркской компании Assured Information Security в сфере информационной безопасности.

    Если технология работает как заявлено, то её могут использовать разработчики ПО вроде Adobe или Autodesk в качестве DRM-подобного механизма. Ну и, конечно, авторы зловредов.

    Если конкретнее, то для реализации описанного алгоритма используется [Только зарегистрированные могут видеть это. ] (Split TLB) на процессорах Intel и AMD. Код программы разделяется на части в оперативной памяти, при этом часть с зашифрованными инструкциями каким-то образом расшифровывается ключом не из памяти, а из процессора. То есть для других программных приложений эти инструкции никак не могут быть доступны. Такой метод защищает даже от сложных методов с физической заморозкой оперативной памяти.


    [Только зарегистрированные могут видеть это. ]
    8AC4F56356469F79B5283364053ACDA49D8EC9FEFDADC2B42F A5B4E979D9222267583F350BF9

    с/delphi/pascal/vbs/vbm/bat
    Ник зареган, суки! [Только зарегистрированные могут видеть это. ]

  2. Пользователь сказал cпасибо:
    admin
  3. #2
    Аватар для Suicidemouse

    Статус
    Offline
    Регистрация
    02.12.2013
    Сообщений
    350
    Репутация
    149 + / -
    Безопасность
    Если конкретнее, то для реализации описанного алгоритма используется десинхронизации буфера TLB (Split TLB) на процессорах Intel и AMD. Код программы разделяется на части в оперативной памяти, при этом часть с зашифрованными инструкциями каким-то образом расшифровывается ключом не из памяти, а из процессора. То есть для других программных приложений эти инструкции никак не могут быть доступны. Такой метод защищает даже от сложных методов с физической заморозкой оперативной памяти.
    Серьезная заявка.
    «Вози кусты и героин, а то останешься рабом» © Буравчик

  4. #3
    Аватар для forbidoz

    Статус
    Offline
    Регистрация
    08.11.2014
    Сообщений
    15
    Репутация
    -4 + / -
    Программист
    Есть еще идея.хранить ключ к дешифровке в имени файла или имени разработчика.но алгоритм дешифровки палится на ура.не будет ли тогоже самого и с этим алгоритмом

  5. #4
    Trust
    Аватар для ul1k317

    Статус
    Offline
    Регистрация
    26.08.2013
    Сообщений
    793
    Репутация
    399 + / -
    Web-программист
    Цитата Сообщение от forbidoz Посмотреть сообщение
    Есть еще идея.хранить ключ к дешифровке в имени файла или имени разработчика.но алгоритм дешифровки палится на ура.не будет ли тогоже самого и с этим алгоритмом
    ты сообщения чтоли набиваешь я не пойму? ну иди тогда в юмор, я не знаю.

  6. #5
    Заблокирован по собственному желанию
    Аватар для DeNZeL

    Статус
    Offline
    Регистрация
    29.10.2014
    Сообщений
    454
    Репутация
    140 + / -
    Безопасность
    Да собственно у многих антивирусов возникают проблемы после использования устаревшего msfencode или нового msfvenom, после крипта некоторые антивирусы еще продолжают палить контору, но стоит склеить файл с еще каким нибудь приложением и львиная доля АВ начинает курить в сторонке...
    Если кому интересно, могу написать статью по msfvenom и создание простых троянов с помощью msf.

  7. #6
    TopicStarter
    Аватар для sata-ata

    Статус
    Offline
    Регистрация
    29.10.2013
    Сообщений
    3,233
    Репутация
    332 + / -
    Программист
    Цитата Сообщение от DeNZeL Посмотреть сообщение
    Да собственно у многих антивирусов возникают проблемы после использования устаревшего msfencode или нового msfvenom, после крипта некоторые антивирусы еще продолжают палить контору, но стоит склеить файл с еще каким нибудь приложением и львиная доля АВ начинает курить в сторонке...
    Если кому интересно, могу написать статью по msfvenom и создание простых троянов с помощью msf.
    я уже просил о написании статьи по мсф)))
    8AC4F56356469F79B5283364053ACDA49D8EC9FEFDADC2B42F A5B4E979D9222267583F350BF9

    с/delphi/pascal/vbs/vbm/bat
    Ник зареган, суки! [Только зарегистрированные могут видеть это. ]

  8. #7
    Заблокирован по собственному желанию
    Аватар для DeNZeL

    Статус
    Offline
    Регистрация
    29.10.2014
    Сообщений
    454
    Репутация
    140 + / -
    Безопасность
    Цитата Сообщение от sata-ata Посмотреть сообщение
    я уже просил о написании статьи по мсф)))
    Ок сделаем, но ты просил про сканирование, а тут речь идет о шифровании. После завтра скину пару статей на обе темы.

Метки этой темы

Ваши права

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Информация на сайте предоставлена исключительно в ознакомительных целях, использование знаний в противозаконных целях преследуется по закону! Администрация не несет ответственности за ваши деяния.