ארכיון רד-בורד: הסתרת קובץ מהאנטי וירוס,על ידי עריכה

ראשי > אבטחת מידע > הסתרת קובץ מהאנטי וירוס,על ידי עריכה

05/08/2006 22:32:12 BaDAngeL0

שלום ניסיתי לערוף קובץ ועל ידי זה להסתתיר אותו מהאנטי וירוס וזה לא עבד

עריכה נגיד להוסיף מידע בניארי בוסף הקובץ או בהתחלה,
האנטי וירוס עדיין מזהה את הקובץ

למישהו יש דרך אחרת?
או שפשוט מישהו יודע איך האנטי וירוס מזהה בדיוק את הקובץ?

05/08/2006 22:44:37 devil kide

Vוא עדיין רואה את הערכים המסוכנים, לכן הוא מזהיר אותך.

תקרא קצת על rootkit
http://en.wikipedia.org/wiki/Rootkit

05/08/2006 23:46:01 JonJon

רוטקיט הוא לא תמיד הפתרון , נגד AV הפתרון הוא לרוב עריכה מסויימת של הקובץ בדיוק כמו שהזכרת אבל עריכה שונה...
תבין שהוספת מידע בתחילה או בסוף הקובץ לא תעזור לך כי הAV סורק את כל הקובץ כנגד מסד חתימות הוספת מידע בהתחלה או בסוף לא משנה את החתימה עצמה...
הפתרונות שלך במקרה ויש לך גישה לקוד מקור זה לשנות את הקוד ככה שהקוד עצמו ישתנה כך גם לרוב החתימה... או כאשר אין לך גישה
להשתמש בכלים שעושים את הפעולה בשבילך שנקראים Packers, הם לוקחים את הקובץ שלך אחרי שהוא מקומפל והכל ואיך נאמר את זה אורזים אותו באריזה אחרת ככה שהוא יראה שונה , ובמצב הזה הAV ינסה למצוא את החתימה ויכשל ... לרוע מזלך הAV גם עלול לגלות חתימות של הפאקרים האלה כי יש להם חתימות מסויימות ולכן קשה לך למצוא פאקר ציבורי שלא יתגלה ולכן האפשרות שלך היא לכתוב פאקר משלך או למצוא פאקר שלא נמצא בשימוש ציבורי :)

06/08/2006 01:38:57 SlimShady

אם כבר מדברים על זה- איך זה שהאנטי וירוס מגלה קבצי BAT מזיקים? איך הוא יודע איזה קובץ BAT בסדר ואיזה לא? מה לפי הפקודות??...

06/08/2006 02:16:25 JonJon

בדיוק באותה צורה , קבצי BAT אפילו מקלים על העניין , הקוד נמצא שם בטקסט פשוט והפקודות באצווה הם לא רבות אז לא צריך מסד כזה גדול בשביל לנתח האם הקובץ הוא "רע" או לא

06/08/2006 03:25:12 BaDAngeL0

על מה הבסיס לכתוב פאקר?
איך אני משנה חתימה?
מה זה בדיוק חתימה?

06/08/2006 09:33:27 Cyber Knight

מיצטרף לשאלה של אנג’ל, אתה יכול לפרט קצת יותר ?

06/08/2006 09:53:10 xtre

אני פעם עשיתי משהו כזה וזה עבד פרפקט

לקחתי קוד מקור של תוכנית אסורה והצפנתי את כולו בצופן פנקס קל ופשוט

לקחתי קובץ נוסף שיחזיר את הפעולה למקור חיברתי את שתהים והפעלתי
התוצאה הייתה שהקובץ הופעל אבל נחסם זה אומר שהוא עשה את המטרה שרציתי אבל התגלה מיד
כאילו הקובץ קרא אותו והפעיל אבל כנראה שב temp הוא השאיר איזשהו עותק ומיד זה התגלה
אם אתה מחפש שזה בכלל לא יסמן שזה אסור אז זה לא בשבילך אבל אם אתה רוצה להשיג מטרה והאנטי וירוס מפריע לפעמים הטריק יוכל לעזור

06/08/2006 11:42:35 BaDAngeL0

זה לא עוזר לי א.אין לי את הקוד מקור
ב. זה ממש לא שווה
עשיתי משהו דומה חילקתי את הקוד ל 2
האנטי וירוס לא זיהה ופשוט בניתי תוכנה שברגע שהיא נפתחת היא מחברת את הקוד ומפעילה האנטי וירוס מגלה גם אחרי
אבל שוב זה לא עוזר לי בכלל..

06/08/2006 14:36:19 JonJon

אני אסביר...
כשאני אומר חתימה אני מתכוון לדפוס שנמצא בקובץ מסויים.
יש לך את הקובץ שאתה רוצה להסתיר מהAV ואתה הרי יודע שהוא מורכב מקוד בינארי , הקוד בינארי הזה לא משתנה ממחשב למחשב , אם תקח את הקובץ ותעתיק אותו למליון מחשבים זה עדיין אותו קובץ , אבל מה שקובע זה הקוד של אותו קובץ, פעולות שונות שהקובץ עושה(לפי הקוד מקור) מתפרשות לקוד בינארי שונה ולכן חברות AV יכולות להרכיב חתימה לזיהוי הקובץ על פי הפעולות שלו...
נכון אין להם את הקוד מקור אבל הן יודעות לפרש את הקוד כדי להשיג מושג על מה הקובץ הזה פועל , באילו ספריות הוא משתמש ועוד פרטים . כל אלה מהווים חתימה אחת ששמורה במסד שהAV בודק נגדו את הקובץ שלך

07/08/2006 11:45:13 antivirus

xret
הפעולה שעשיתה נכשלה מסיבה פשוטה
לכל אנטיוירוס כיום יש שני מערכות הגנה
אחת זה סריקה של קבצים על קוד המקור שלהם לגילוי מחרוזות מסוכנות וכדומה.

דבר שני כל קובץ שמתחיל לרוץ פונה כמובן לזיכרון מכניס את הפעולות שלו לתאים והמחשב מתחיל לשלוף משם פעולה פעולה
האנטיוירוסים היום עוקבים אחרי כל תוכנית שמתחילה לרוץ וכאשר היא עושה רצף של פעולות מסוכנות הוא חוסם או שואל אם לתת לתוכנית להמשיך לרוץ
ככה שלא משנה איך תצפין את הקובץ שלך
גם אם האנטיורוס לא יגלה את זה..
כהתוכנית תתחיל לרוץ הוא יזהה את הפוטנצייאל הרע שברצף הפעולות שלה ויחסום

אגב להסתיר קובץ זדוני מהאנטיוירוס אפשרי בכל כך קלות רק על ידי שינוי האינטרי פויינט כמו שאפיק פעם אמר לי
אם אני לא טועה דוויל או מישהו אחר מהסצינה נתן על זה הרצאה בערוץ שלנו במירק "שיטת ארגז החול" כמדומני

07/08/2006 21:06:13 BaDAngeL0

antivirus
תוכל בבקשה לתת הסבר קצר?
על "שיטת ארגז החול"

07/08/2006 22:42:27 JonJon

אנטי זה קצת שטויות מה שאמרת...
דבר ראשון אם אתה מתכוון לאותו ארגז חול שאני מתכוון אליו אז אתה מדבר על משהו אחר , הארגז חול שאני מתכוון אליו הוא מעין מערכת אימולציה שהAV משתמש בה כדי לבדוק את הקבצים בסביבה בטוחה...

ואני לא חושב שאי פעם בהיסטוריה שינוי האנטרי פוינט של קובץ מנע מאנטי וירוס לסרוק קובץ כי האנטרי פוינט של קובץ דבר ראשון שמור בקובץ עצמו וניתן לגילוי בקלות וגם אם מנסים להשתמש בקפיצות או קריאות כדי לשחק איתו זה עדיין לא בעיה כזאת גדולה לגלות אותו אז אני לא מאמין שזה מה שימנע ממך...
אחת הדרכים היותר טובות לחמוק מידי האנטי וירוס חוץ מלהשמיד אותו כמובן או לרמות אותו בדרכים שונות ומשונות הוא קובץ פולימורפי שמשנה את עצמו מפעם לפעם כך הוא חומק מזיהוי כנגד מסד החתימות של הAV

08/08/2006 13:23:30 xtre

למישהו יש במקרה תהרצאה שנמסרה על זה?
למרות שג’וןג’ון נשמע משכנע
הייתי רוצה לראות את ההרצאה הזו היא נשמעת מעניינת מאוד

08/08/2006 23:07:38 antivirus

אה גוני הרעיון של האינטרי פויינט היה של אפיק אין לי מושג טכנית אם זה נכון..אבל הוא אמר שזה בקלות עוזר..
לגבי ארגז החול זה לא הפיתרון מול האנטיוירוס זה שם ההרצאה שדוויל נתן בזמנו או הוא או מישהו אחר לא זוכר
על כל פנים יש הרבה שיטות לעקוף אנטיוירוסים
החל משינוי שם תיקיית הבסיס של האנטיוירוס
שנכון להיום לא יודע אם עוד עוזר..וזה מנטרל אותו לגמרי

והשיטה של הצפנת נתונים בשיטה חכמה בתוך המבנה עצמו של הקובץ

ועד לשימושים ברוטקיט וכדומה..

יש הרבה דרכים רק לקרוא וללמוד

09/08/2006 00:13:15 Trancer

עקיפת אנטי-וירוס? יש כמה וכמה שיטות:
נגד ’גילוי התנהגות’ של הAV לקודים זדוניים אפשר להשתמש במנועי הצפנה כגון פולימורפיזם או מטאמורפיזם או אוליגומורפיזם...
(oligomorphism, polymorphism and metamorphism.. google-it)

קיימות גם עקיפות שונות לארגז חול וזיוף/שינוי חתימות דיגיטליות.

בקרוב (כשתגמר המלחמה) יהיה הרצאה של ZiBi בנושא עקיפת אנטי-וירוסים בחסות Rec-Sec.
קראתי אותה והיא מצויינת לדעתי, נחכה :-)[ההודעה נערכה על-ידי Trancer ב-09/08/2006 00:14:28]

עמודים: 1