[VB.NET] - Anti-Emulator

[Sawyer]

Coder: ChainCoder(Delphi) > translated by Slayer616(vb6) > Translated by Ixeman(vb.net)

Source-Code:

Code:

'------------------------------------------------------------------
'Name: Anti-Emulator
'Coder: ChainCoder(Delphi) > translated by Slayer616(vb6) > Translated by Ixeman(vb.net)
'Usage: If AntiEmulator = True Then End
'Give Credits if you use this code!
'------------------------------------------------------------------

Imports System.Threading.Thread
Imports System.Environment

Module Anti
    Public Function AntiEmulator() As Boolean
        Dim timenow As Long
        Dim timeaftersleep As Long
        'Assign long timenow to get
        'the milliseconds passed before
        'app being suspended.
        timenow = TickCount
        'Suspends the current thread for 500 milliseconds.
        Sleep(500)
        'TickCount: Gets the number of milliseconds
        'that passed since the application started.
        'So timenow + sleep(500).
        timeaftersleep = TickCount
        'timenow + sleep(500) - initial time < 500.
        If timeaftersleep - timenow < 500 Then
            AntiEmulator = True
        Else
            AntiEmulator = False
        End If
    End Function
End Module

MfG

[matze093]

Sry dass ich frage^^ Aber was ist ein Anti-Emulator eigentlich?

[Clode]

Ich glaub der Papst ist doch nich so heilig...

Fraud detected, Account 8659242: This Account has been locked by our Abuse-Team.

[Sawyer]

Ich glaub der Papst ist doch nich so heilig...

wtf xD also wenn ich auf dl klicke gehts aber o.O

ich hab auf meine acc nicht mal was illegales sondern nur source codes gehostet xD

Sry dass ich frage^^ Aber was ist ein Anti-Emulator eigentlich?

Some AVs use emulation to detect a file. When they use emulation, they skip the sleep api. So for instance, if you sleep for 1 sec, the AVs gonna skip that. Now, what Chain does, is check the time before the app sleeps and after.

heißt so viel wie , es gibt einige av,s die zum Erkennen einer Datei einen Emulator benutzen , diese blocken die sleep api , und das wiederum kann man überprüfen

MfG

[Clode]

wtf xD also wenn ich auf dl klicke gehts aber o.O

jop, jetzt gehts bei mir auch grad wieder...
vor 10min durft ich deine sc's nich laden =(

Bah, brauch ich sowieso nich xD

[Bozok]

So ein Ding ist erst bei Bitdefender oder F-Prot nützlich weil auch nur die beiden Firmen aktiv einen Emulator benutzen (soweit es mir bekannt ist!)

[l0dsb]

Slayer: ESET, Kaspersky und Konsorten (generell alle AVs, die etwas auf sich halten) haben ebenfalls Emulatoren integriert; natürlich unterscheiden sich diese erheblich.

Zum technischen Hintergrund: Sleeü und GetTickCount werden von Emulatoren gerne gehookt (intelligenterweise Ring 0, muss aber nicht der Fall sein).

Sleep, weil man beim Emulieren (sprich: Scannen) Verzögerungen vermeiden will; GetTickCount, da die API selbst schon als Anti-Emulator verwendet wurde (Funktionsweise wie RDTSC).

Die Methode ist praktisch eine Erweiterung der RDTSC/GetTickCount-Methode, beide sind schon _etwas_ älter. Da man Sleep selbst aufruft, kennt man die ungefähre Differenz und kann diese abfragen. Der Rest erklärt sich von selbst.