zavirovany cmecka

[NeptuN]

nazdar lidi, tak jsem zas jednou premyslel ( ! ). Ano, muze to znit fantasticky, ale ano . NEstahl jsem si nejaky program, a tudiz jsem ani NEmohl premyslet o stazeni neceho chytreho, co by nejak domluvilo tomu nestazenemu programu, a proto uz vubec me ani ve snu NEmohlo napadnout, ze to neco chytre bude zavirovane. Ja vim, tato situace se bohuzel nikomu jinemu nestava...

K veci: sekce cmecek zde existuje a podava ( nebo by alespon mela ) zakladni informace o chovani programu.
Problem: co kdyz budete mit keygen popr cmecko zavirovane. A potrebujete ho spustit...  :eek:

Nevite nekdo o nejakych materialech, ktere by se daly zde pouzit? muzeme zde treba zalozit i nejakou sekci o tomto problemu. Verim, ze by se jednalo o velmi prakticke informace...

Co mam presne na mysli? Vezmu dotycny "program" ( antivir nic nerika ) a disassasembluji ho. Okej, prvni, co me napadlo, bylo zkontrolovat podezrele api, u keygenu odstranit vsechny volnani typu CreateFile apod apod. Nechat je dialogove api. problem? GetProcAddress... atd atd. u cracku to bude mhooohem tezsi... fakticky debug je zde vyrazen, resp. lze pouzit az uplne naposled...

tak co vy na to?

[DARKER]

Spusti si to na Virtual machine tam ti ten program "nic" nespravi ...

[Conflict]

Tohle sem uz delal. Staci spustit zavirovanej program na virtual machine. Vyzkousenej mam Innotek VirtualBox. Je dobrej a zdarma. Pak se hodi dvoujadrovy CPU, kazdej system si vytizi svoje jadro. Samozrejme po instalaci systemu do virtual machine je dobry udelat zalohu image souboru do kteryho se ulozil virtualizovanej system, abys nemusel po kazdym viru znova instalovat.
Vazne de o vir? Pravej vir sem nevidel uz nekolik let. Spis de o balast co ti jen zasvini system. Pak je dobry dat BP na registry. Casto se do system32 zapisuji .exe a .dll. FileMonem bys je mohl vychytat.
A nebo nekdo pouzil neco na zpusob Dropper_Creator (jojo, musim se pochlubit). Protoze pokud je pouzito EPO na API, ta AV nezaznamena nic.
Taky se po netu podivej jak se da programove zistit spusteni na VM. Balast je holt svina. Balast vyrabi lidi. Z toho vyplyva ze lidi sou svine. Je to pravda, vidim to sam na sobe  

[Master]

Tak nejak,pravej vir sem uz od dob 95 a 98 fakt nevidel.Vetsinou to jen trojany apod. kraviny. Nejdrsnejsi viry byly na 386 pod dosem

[DARKER]

apropo stare viry: OneHalf bola opravdova lahodka urcite si pamatate ...

http://cs.wikipedia.org/wiki/OneHalf

[Conflict]

Tenhle program je cz a vypada fakt dobre. Myslim, ze je zbytecny pouzivat ollyho. Video rekne vic.
http://www.lodusweb.net/video/viry_all_beta1_org_all.html

[NeptuN]

ten virtual machine je dobry napad , ale je tu jedno ale

pravdepodobne budou existovat, jak jiz bylo naznaceno, metody detekce virualnich masin, no dulezitejsi spis je, jestli ten "zly" program nemuze "preteci" do realneho systemu... moc se v tom nevyznam, ale dle hesla: nic neni dokonale, soudim, ze ani to nemusi byt bezpecne.

A co se tyce tech viru, mno, mel jsem na mysli vsechny ty otravne veci: krome viru taky spyware a to svinstvo kolem ...   :rolleyes:

jinak ty odkazy jsou pekne, ale je tu jeden hacek... radeji bych dane svinstvo ani nepoustel jen tak na kompu ( nevim nevim ten virtual comp...? ), samo pokud, tak file, reg a api -monitory ready a mit v pohotovosti i ostatni veci, ale i tak... jakmile spustis, kompromitujes cely system... takze debug popripade run jen v posledni fazi...

otazka je taky kolem cracku, spoustet hry ve virtual boxu ... pokud ma clovek silny kompik, proc ne, ale s mym 1,5 GHz a jedinym jadrem...  

nicmene kolem odstranovani techto svinstev z dila reversera ( jak jinak, vsechno je to od reverseru, jen par debilu do toho primichava to svinstvo ) sem premyslel o moznostech tech debilu. Pokud na to pouzivaj nejake kity ( nedokazu si predstavit, ze ne, budou to nejaci debilci s minimalnima znalostma schopni tak maximalne stahnout ten kit a zmacknout jedno tlacitko  :mad:  ), tak by mozna stacilo nalezt jejich signatury v infikovanych programech a napsat  odsvinovac...

[Conflict]

resis kraviny. To co bezi na VM nemuze "pretict" do realnyho systemu. Vsechny ty regmony a filemony budes mit na VM a ne na real systemu. A vsechny kity na tvorbu viru sou odhaleny behem par hodin, takze klid. Muze se stat, ze balast vyuzije diru v systemu a obejde AV i FW. Pak je velice jednoduche reseni a tim je format c: a natahnout zalohu cisteho systemu.