Citat:
Ursprungligen postat av
poolo
Många virus flaggas för att de är kända och har snappats upp. Skriver TS sin egna keylogger så kan han undvika det. Ett exempel är om du skulle baka in din keylogger i t.ex XNA game library, inget virusprogram som skulle se det som keylogger så länge ingen flaggar programmet
Det där var kanske anti-virusprogram på tidigt 2000-tal som var helt signaturbaserade. Idag är de mycket mer avancerade än så.
Det spelar ingen roll vart du lägger en körbar kod, så länge den kan köras på ett korrekt sätt så kan den analyseras därefter och AV's kan utföra dynamiska analyser i kombination med statiska för att hitta mönster som är typiskt för skadlig kod - sk. hueristik.
Dessutom om du bakar in kod i legit PE-filer så kommer de förlora sitt certifikat och då kommer verkligen både Windows och ditt AV tycka något är skumt(Windows SmartScreen).
Så att baka in kod i '
XNA game library' är inte en lämplig lösning men det fungerar. Enklast vore någon
DLL order hijacking som utnyttjar hur Windows biblioteksstruktur fungerar. Denna metod modifierar inga filer på disk och kräver heller inte direkt körning utav PE-filen. Finns så klart fler sätt...
TS: enkla och klassiska svaret är att du använder en crypter som obfuskerar din fil vilket gör att den kringgår detektering.