Как вирусы обходят защиту антивирусов и распространяются

[Qkston]

Этот пост сделан исключительно для ознакомления с данной темой. И покажет что везде может скрываться малварь или какая та другая фигня. Ну ладно я и так, то затянул вступление так что приступим.

Как обычно, всё заключается в шифровании кода. Но, как же это делается?

Стаб
Стаб - небольшая программа, основа криптора, которая отвечает за запуск шифрованного файла, Анти эмуляцию и за прочие функций.

Структура стаба:

-Сам стаб

-Слово-разделитель

-Ключ расшифровки

-Слово-разделитель

-Шифрованные данные

Стабы могут отличиться, но принцип работы всегда строиться на шифрований и сокрытий основного кода.

Алгоритм работы стаба:

1) Ищет слово-разделитель в файле

2) Получает ключ

3) Ищет слово-разделитель в файле

4) Получает шифрованные данные

5) Расшифровывает данные (base64 -> byte[] -> Decrypt() -> byte[])


Криптор
Алгоритм работы криптора:

1) Выбор файла для крипта

2) Шифр файл и конвертирование его в Base64 строку

3) Запись стаб, слово-разделитель, ключ, в base64 строку

Ну вот и все, криптор готов.

Далее стаб кидается к криптору и на этом работа заканчивается, но можно повысить скрытность файла еще больше. Для этого просто добавляем в код мусора (Да это может быть сложно и не приятно портить свой код, но это поможет вирусной части кода стать более не заметной).