Tweet
Hoje os antivirus estão muito sofisticados, são muitos os tipos de analises que eles fazem.
1- Analise estática
2- Analise comportamental
-> Pelos meus estudos e experiências os antivirus mais responsáveis para se detectar um virus, eles pegam varios tipos
de referências no arquivo.
-> Não importa se o virus está encryptado ou não, os antivirus sabem que existem strings cifradas no arquivo, a questão
que como são responsaveis não iram pegar unicamente estas strings para detectar como virus. Existe varias analises,
alguns exemplos:
Estática:
---------
- Nome
- Pasta
- Referencias de strings internas
- Dependencias de bibliotecas
- Versão, data, hora, etc
- Icones, imagens ou qualquer arquivo importado
- Tamanho do arquivo
- Nome das funcões (Engenharia reversa da para saber o nome que você usou nas suas funções)
- Componentes (caso o virus for desenvolvido em linguagens com interface, estas são detectas tambem)
- Até a dimensão de componentes como forms, componentes de imagens, etc o Wight e Higth
- Certificados
- O que eu lembro até agora foi isso
Comportamento:
--------------
- Registro
- Protocolos (ftp, email, http)
- Ips/DNS que se conectam
- Gravação de arquivos
- Modo que se inicia (eles sabem a ordem que você executa as functions internamente)
- APIs que você chama
- Funções mais usadas
- Algum metodo para desativar proteções
- As variaveis na memoria (tamanho delas por ex
- O que eu lembro até agora foi isso
Ou seja, os antivirus pelo que estudei a parte mais importante para se começar uma analise é a referencia estática, depois
eles começam a testar outros comportamentos.
Ae vocês usam um cripter e testam para ver se está sendo pego, de cara se o cripter é novo nunca pegará, mas os antivirus
eles começam a pegar por amostras, ou seja, quando eles notarem o mesmo arquivo, com a mesma logica e x computadores o
arquivo será posto para analise. Pronto o cripter não te ajudará mais.
Dica: nunca mande seus virus para sites como virustotal e outros, estes serviços enviam o arquivo para empresas de antivirus
A técnica para se ficar indetectável POR UM TEMPO (não existe virus indetectável para sempre) é modificar o virus em cada
maquina, não deixar nenhuma string padrão no arquivo.
- Nomes randômicos
- Cada arquivo encryptado diferente
- Comportamento (não ferrar a memória, processador, não usar muito a rede, fica o máximo parado possivel)
- Não deixar nenhuma string que diferencie seu virus (O correto é não deixar nenhuma string interna)
- O que eu lembro até agora foi isso
História
--------
Todos os virus que ficaram indetectáveis por muito tempo, foi porque a quantidade de infectado era muito pequena e eram
alvos marcados.
1- Analise estática
2- Analise comportamental
-> Pelos meus estudos e experiências os antivirus mais responsáveis para se detectar um virus, eles pegam varios tipos
de referências no arquivo.
-> Não importa se o virus está encryptado ou não, os antivirus sabem que existem strings cifradas no arquivo, a questão
que como são responsaveis não iram pegar unicamente estas strings para detectar como virus. Existe varias analises,
alguns exemplos:
Estática:
---------
- Nome
- Pasta
- Referencias de strings internas
- Dependencias de bibliotecas
- Versão, data, hora, etc
- Icones, imagens ou qualquer arquivo importado
- Tamanho do arquivo
- Nome das funcões (Engenharia reversa da para saber o nome que você usou nas suas funções)
- Componentes (caso o virus for desenvolvido em linguagens com interface, estas são detectas tambem)
- Até a dimensão de componentes como forms, componentes de imagens, etc o Wight e Higth
- Certificados
- O que eu lembro até agora foi isso
Comportamento:
--------------
- Registro
- Protocolos (ftp, email, http)
- Ips/DNS que se conectam
- Gravação de arquivos
- Modo que se inicia (eles sabem a ordem que você executa as functions internamente)
- APIs que você chama
- Funções mais usadas
- Algum metodo para desativar proteções
- As variaveis na memoria (tamanho delas por ex
- O que eu lembro até agora foi isso
Ou seja, os antivirus pelo que estudei a parte mais importante para se começar uma analise é a referencia estática, depois
eles começam a testar outros comportamentos.
Ae vocês usam um cripter e testam para ver se está sendo pego, de cara se o cripter é novo nunca pegará, mas os antivirus
eles começam a pegar por amostras, ou seja, quando eles notarem o mesmo arquivo, com a mesma logica e x computadores o
arquivo será posto para analise. Pronto o cripter não te ajudará mais.
Dica: nunca mande seus virus para sites como virustotal e outros, estes serviços enviam o arquivo para empresas de antivirus
A técnica para se ficar indetectável POR UM TEMPO (não existe virus indetectável para sempre) é modificar o virus em cada
maquina, não deixar nenhuma string padrão no arquivo.
- Nomes randômicos
- Cada arquivo encryptado diferente
- Comportamento (não ferrar a memória, processador, não usar muito a rede, fica o máximo parado possivel)
- Não deixar nenhuma string que diferencie seu virus (O correto é não deixar nenhuma string interna)
- O que eu lembro até agora foi isso
História
--------
Todos os virus que ficaram indetectáveis por muito tempo, foi porque a quantidade de infectado era muito pequena e eram
alvos marcados.