Mr.XHat
01-23-2012, 02:20 PM
سلام دوستان
نکاتی پیرامون آنالیز فایل های مخرب در چارچوب تعیین شده برای بایپس آنتی ویروس ها
There is no tried and true technique for bypassing antivirus. You may find the AV product you are testing can be bypassed with simple modifications to the templates or you may find that it doesn't matter how you modify the template because the AV is picking up on the payload. If the AV is triggering on the payload, then you may have to use a custom payload, use a custom encoder, or both.
Here are a couple of things to keep in mind when trying to bypass AV.
1. People don't like to talk publicly about how they bypass AV because it helps the AV companies develop signatures.
2. Don't submit your custom executables to VirusTotal or similar services because the AV companies use these services to develop new signatures.
3. Setup a virtual machine with the AV you want to bypass, update it to the latest signatures, and disconnect it from the Internet. Then test your bypass.
وقته تروجان مینویسید یا یک ویروسی، کرمی یا چیز دیگر که از این قبیل هستند هرگز اونارو در سایت هایی مثل virustotal یا نظیر آن آپلود و آنالیز نکنید چون آنها با شرکت های آنتی ویروس قرار داد دارند و به زودی فایل شما درصورت مخرب بودن به دیتابیس آنتی ویروس ها اضافه خواند شد!
تنها راهی که میتواند مفید باشد استفاده از ماشین مجازی برای نصب و تست و بایپس آنتی ویروس ها است!
امیدوارم این نکته ها رو همیشه مدنظر داشته باشید چون این روزها خیلی مهم شدن این اسکنرهای آنلاین پس خودتون خودتونو به چاه نندازین!
پیروز باشید!
نکاتی پیرامون آنالیز فایل های مخرب در چارچوب تعیین شده برای بایپس آنتی ویروس ها
There is no tried and true technique for bypassing antivirus. You may find the AV product you are testing can be bypassed with simple modifications to the templates or you may find that it doesn't matter how you modify the template because the AV is picking up on the payload. If the AV is triggering on the payload, then you may have to use a custom payload, use a custom encoder, or both.
Here are a couple of things to keep in mind when trying to bypass AV.
1. People don't like to talk publicly about how they bypass AV because it helps the AV companies develop signatures.
2. Don't submit your custom executables to VirusTotal or similar services because the AV companies use these services to develop new signatures.
3. Setup a virtual machine with the AV you want to bypass, update it to the latest signatures, and disconnect it from the Internet. Then test your bypass.
وقته تروجان مینویسید یا یک ویروسی، کرمی یا چیز دیگر که از این قبیل هستند هرگز اونارو در سایت هایی مثل virustotal یا نظیر آن آپلود و آنالیز نکنید چون آنها با شرکت های آنتی ویروس قرار داد دارند و به زودی فایل شما درصورت مخرب بودن به دیتابیس آنتی ویروس ها اضافه خواند شد!
تنها راهی که میتواند مفید باشد استفاده از ماشین مجازی برای نصب و تست و بایپس آنتی ویروس ها است!
امیدوارم این نکته ها رو همیشه مدنظر داشته باشید چون این روزها خیلی مهم شدن این اسکنرهای آنلاین پس خودتون خودتونو به چاه نندازین!
پیروز باشید!