Coding .Net C# - Obfuscation / Virus Detections (1 Betrachter)

  • Ersteller des Themas
  • Moderator
  • #1

gelbes

gelbes
Moderator*
Black-Market: 0 / 0 / 0
10 November 2020
87
17 %
Moin Community.

Ich hab in den letzten Monaten viel gelesen und an einem Rust Recoil script gearbeitet und dieses in C# geschrieben. Ich kann mir leider überhaupt nicht erklären, wieso da so viele detections zustande kommen, kann mir da wer helfen?


Ich nutze ConfuserEx für die Obfuscation, da ich leider nichts besseres gefunden habe. Die Preise sind ja enorm für solche Programme..

Gibt's bestimmte Dinge die ich beachten muss? Hab das ganze halt durchgejagt und zu einer .exe gepacked. Damit ich nicht die gefühlt tausend DLL's mitshippen muss.

Das ist der Virustotal report:
21633


Hab da definitiv keine Malware drin. Wäre über jegliche Hilfe dankbar.


Edit:
Es ist auch nicht billig zusammengepasted, teile sind gepasted, das sind aber nur die Recoil-Tables (viewangles & pixelmovements) die ich mal gefunden habe und sehr gut funktioniert haben. Der Rest ist wie gesagt komplett selbst geschrieben.
 

562239

562239
ВОР В ЗАКОНЕ
EliTE-Mitglied
Black-Market: 0 / 0 / 0
16 März 2013
602
32 %
Hab das ganze halt durchgejagt und zu einer .exe gepacked. Damit ich nicht die gefühlt tausend DLL's mitshippen muss.

This. DLL-Dateien außerhalb der auszuführenden Datei werden auch nicht erkannt, weil nicht direkt versucht wird auf einen Prozess zuzugreifen.

Für die Zukunft: würde es vermeiden irgendwas auf VT hochzuladen. Deinen Code kannst du jetzt zumindest so in die Tonne klopfen. Ist als Hash in den Datenbanken hinterlegt worden.
 
  • Ersteller des Themas
  • Moderator
  • #3

gelbes

gelbes
Moderator*
Black-Market: 0 / 0 / 0
10 November 2020
87
17 %
Es ist eh nochmal ein kompletter rewrite geplant, das ist nicht all zu wild, die Frage ist woher diese detections kommen. Selbst ohne obfuscation hat es ein paar. Mit jedoch nochmal mehr.

Kommt es durch das abfragen von Tastendrücken mit GetASyncKeystate für die Hotkeys? Eventuell das ganze in Verbindung mit der API? Ich kanns mir halt einfach nicht erklären, bei der API wird nur abgefragt ob der USER existiert und im nächsten schritt halt ob diese HWID übereinstimmt. Wenn ja -> OK.

Kann das in irgend einer Weise 'ne detection hervorrufen? Selbst Microsoft Defender heult sofort wenn du das Programm runterlädtst.


DLL-Dateien außerhalb der auszuführenden Datei werden auch nicht erkannt, weil nicht direkt versucht wird auf einen Prozess zuzugreifen.
Klicke in dieses Feld, um es in vollständiger Größe anzuzeigen.
Heißt das ich sollte für den ganzen Stuff ne DLL schreiben und dann einen Loader bauen der das ganze über Netz lädt? Verstehe den ganzen Prozess dahinter noch nicht so 100%.


Es muss ja irgendwie möglich sein diese Detections zu vermeiden, oder nicht?




Edit:

Auch wenn ich nur die .exe ohne die dll's zu packen obfuscate und nur die .exe teste, selbe detection-rate.

Was anstelle von VirusTotal zum testen würdest du denn empfehlen?
 
Zuletzt bearbeitet:

iNomeX

iNomeX
Forum-Mitglied
Black-Market: 0 / 0 / 0
15 April 2021
194
26 %
  • Ersteller des Themas
  • Moderator
  • #5

gelbes

gelbes
Moderator*
Black-Market: 0 / 0 / 0
10 November 2020
87
17 %
Zitat von iNomeX:
Use Jotti, Jotti is your friend.

BTW dein Code ist binnen 10 Minuten (Anti Tampered, Anti Proxy Flowd und Unpacked)

https://virusscan.jotti.org/de

Und Pay2Cheat ist nix für dich da dir die Kenntnisse fehlen. Ich empfehle dir mal dich mit Guidedhacking zu befassen. Kauf dir ein Account Zugang und lies die GHB (Guided Hacking Bible) mehrere Jahre an Erfahrund und über 3000 Stunden Videomaterial. Fachwissen.

https://guidedhacking.com/threads/ghb0-game-hacking-bible-introduction.14450/
Klicke in dieses Feld, um es in vollständiger Größe anzuzeigen.
Von Pay2Cheat bin ich noch weit entfernt, erstmal teste ich das Ding eh nur mit meinen Jungs. Werde mir das ganze mal anschauen.

Sinn dahinter ist ja, das ganze zu lernen, jeder fängt mal klein an. Danke auf jeden Fall für den GHB Tipp.
 

iNomeX

iNomeX
Forum-Mitglied
Black-Market: 0 / 0 / 0
15 April 2021
194
26 %
Auch ein weiterer Tipp, soltest du da Member werden, rate ich dazu die GHB zu respektieren, die jungs da mögen es absolut null wenn man das ganze nicht respektiert, das ist dort strictly Business und jeder teilt gerne etwas vom Kuchen, aber nimm die sache echt Ernst mit der GHB. Es werden da Leute gebannt für blöde Fragen und wenn sie sich keine Guides anschauen und dann weinen dass was nicht geht. Ist denen scheiß egal, aber du lernst wirklich etwas da.
 
  • Ersteller des Themas
  • Moderator
  • #7

gelbes

gelbes
Moderator*
Black-Market: 0 / 0 / 0
10 November 2020
87
17 %
Zitat von iNomeX:
Auch ein weiterer Tipp, soltest du da Member werden, rate ich dazu die GHB zu respektieren, die jungs da mögen es absolut null wenn man das ganze nicht respektiert, das ist dort strictly Business und jeder teilt gerne etwas vom Kuchen, aber nimm die sache echt Ernst mit der GHB. Es werden da Leute gebannt für blöde Fragen und wenn sie sich keine Guides anschauen und dann weinen dass was nicht geht. Ist denen scheiß egal, aber du lernst wirklich etwas da.
Klicke in dieses Feld, um es in vollständiger Größe anzuzeigen.
Habe mir eben die Mitgliedschaft dort geholt. Werde mir das ganze nun langsam aber Sicher in kleinen Steps rein ziehen. Da werden wohl einige Wochen/Monate ins Land gehen. Respekt denen gegenüber habe ich auf jeden Fall :) Deren YouTube kenne ich auch schon lange.
 
Du musst angemeldet oder registriert sein, um eine Antwort erstellen zu können.

Dieses Thema betrachten gerade (Benutzer: 0, Gäste: 1)