AS
Исходя из вышесказанного, рискну предположить, что АВ вендоры заносят в базу сигнатуру в виде соответствия "Адрес/Кусок кода"
сомнительно. это все меняется просто
Size: a a a
2021 January 10
TT
Я проделывал немного обратную задачу. Искал сигнатуру для конкретного антивируса. Резал файл по 1 байту, каждому присваивал HEX адрес и после натравливал антивирус на весь скоп.
Например, условно малварь весит 100 байт. Разрезаем файл по байту, получается 100 файлов.
Проверяем 100 файлов антивирусом, он в определённом однобайтовом файле детектит заразу. Этот байт и будет являться сигнатурой. Дальше смотрим в дебаггере функцию / место на этом адресе и понимаем сигнатуру антивируса.
Проверяем 100 файлов антивирусом, он в определённом однобайтовом файле детектит заразу. Этот байт и будет являться сигнатурой. Дальше смотрим в дебаггере функцию / место на этом адресе и понимаем сигнатуру антивируса.
AS
Например, условно малварь весит 100 байт. Разрезаем файл по байту, получается 100 файлов.
Проверяем 100 файлов антивирусом, он в определённом однобайтовом файле детектит заразу. Этот байт и будет являться сигнатурой. Дальше смотрим в дебаггере функцию / место на этом адресе и понимаем сигнатуру антивируса.
Проверяем 100 файлов антивирусом, он в определённом однобайтовом файле детектит заразу. Этот байт и будет являться сигнатурой. Дальше смотрим в дебаггере функцию / место на этом адресе и понимаем сигнатуру антивируса.
что? инструкция х86 занимает больше одного байта
AS
какая сигнатура по одному байту :)
IM
Например, условно малварь весит 100 байт. Разрезаем файл по байту, получается 100 файлов.
Проверяем 100 файлов антивирусом, он в определённом однобайтовом файле детектит заразу. Этот байт и будет являться сигнатурой. Дальше смотрим в дебаггере функцию / место на этом адресе и понимаем сигнатуру антивируса.
Проверяем 100 файлов антивирусом, он в определённом однобайтовом файле детектит заразу. Этот байт и будет являться сигнатурой. Дальше смотрим в дебаггере функцию / место на этом адресе и понимаем сигнатуру антивируса.
Чет я горю. Какую заразу вы детектируете в байте FF?
AS
Чет я горю. Какую заразу вы детектируете в байте FF?
+1 :)
TT
какая сигнатура по одному байту :)
Это условно. :)
Там будет ряд. Возьми да попробуй. Я рассказываю простейшую технику обхода детекта.
Там будет ряд. Возьми да попробуй. Я рассказываю простейшую технику обхода детекта.
AS
Это условно. :)
Там будет ряд. Возьми да попробуй. Я рассказываю простейшую технику обхода детекта.
Там будет ряд. Возьми да попробуй. Я рассказываю простейшую технику обхода детекта.
вы рассказываете околонаучную ересь, извините за резкий слог
TT
Возьми да попробуй, хоспаде.
IM
Идея детектирования малвари на основе вызываемых функций в заголовке исполняемого файла тоже не нова.
IM
Если вы про это
TT
Идея детектирования малвари на основе вызываемых функций в заголовке исполняемого файла тоже не нова.
Ну, вот как один из вариантов создания сигнатуры)
AS
Возьми да попробуй, хоспаде.
инструкция х86 длиннее одного байта. что пробовать?
TT
инструкция х86 длиннее одного байта. что пробовать?
Алё, ты внимательно меня читаешь? Или не понимаешь значения слова "условно"?
AS
Алё, ты внимательно меня читаешь? Или не понимаешь значения слова "условно"?
нельзя резать в равных долях, потому что инструкции х86 переменной длины
TT
Антивирус удалит определенное количество байт, где будет сигнатура. Так становится ясней?)
AS
Антивирус удалит определенное количество байт, где будет сигнатура. Так становится ясней?)
нет
TT
Тогда мне нечем тебе помочь :(
AS
https://opensource.apple.com/source/clamav/clamav-158/clamav.Bin/clamav-0.98/docs/signatures.pdf вот нашел вроде кому интересно
TT
Возможно это покажется очень банальным, но ты пробовал... Гуглить?)