Comment un crypter pour contourner le travail de détection antivirus?
Je parle de crypters utilisé pour chiffrer des fichiers tels que des virus et des Keyloggers dans le seul but de contourner la détection antivirus. Comment travaillent-ils?
Dans certains cercles, "Crypter" et "Packer" sont synonymes de moyennant des fichiers binaires ou programmes auto-vérifiés et/ou auto-modificants. Les cryptres peuvent, plus spécifiquement, une modification automatique moyenne comprenant le cryptage et/ou le brouillage de code (voir plus ci-dessous).
Je vous suggère de lire Chris Eagle's le livre IDA Pro pour une compréhension introductive des emballeurs et de leur démontage des composants et de leur architecture.
Le travail de Daniel Reynaud sur les emballeurs et le code auto-modificateur est également très fascinant. Il distingue une distinction entre la vérification de l'intégrité, les écrivies aveugles, le brouillage de code et le cryptage des fichiers PE dans ce blog post sur visualisant les emballeurs et les programmes auto-modificateurs . Son système brut de vérification de ces différentes implémentations techniques dans les emballeurs utilisant une instrumentation binaire dynamique (pas la meilleure façon d'y aller, mais elle peut être très rapide que d'autres méthodes) est disponible à HTTPS: // code. google.com/archive/p/tartetatinools/
Vous pouvez donner une partie des codeurs dans le cadre métasploitant un look. En particulier le polymorphe XOR (Shikata GA NAI) peut valoir un coup d'œil, car il est dicussé dans la documentation métasploite non fondée en ce qui concerne contourner antivirus Détection.