| Сейчас на форуме: Slinger (+6 невидимых) |
 |
eXeL@B —› Основной форум —› Изменение ЕХЕ --- Антивирусы |
| Посл.ответ | Сообщение |
|
|
Создано: 20 декабря 2006 02:16 · Личное сообщение · #1 Каждый антивирус .....имеет средства для распаковки ....и к вообщем читает файлы проверяя их со своей базой .......... По идеи изменить ЕХЕ так чтобы было все ок ....не трудно .....особено если программа запакована тяжолым упаковщикои или протектором .......по крайней мере я так понимаю ..... Так вот ............ есть ли возможность просматривать бызы антивир. программ чтобы видеть параметры определения ....... P.S.Написал тему сюда так как думаю это больше к исследованию чем к програмимингу относится.... ----- RE In Progress [!] Coding Hazard [!] Stay Clear of this Cube  |
|
|
Создано: 20 декабря 2006 02:30 · Личное сообщение · #2 www.wasm.ru ----- Yann Tiersen best and do not fuck |
|
|
Создано: 20 декабря 2006 02:38 · Личное сообщение · #3 Тебе прийдется разбираться с форматом базы данных антивируса, причем нужно учесть что, у каждого антивируса свои сигнатуры для определения зверя. ----- – Почему ты работаешь по ночам ? – Так удобнее... В одну смену с чертями... |
|
|
Создано: 20 декабря 2006 02:50 · Личное сообщение · #4 PE_Kill там есть инфа ....??? tnt17 ну с форматом понятно ......а это кто то делал уже ??? ...Win hex не покатит с поиском строки с названием ...ну допустим ....vir321 ....и я эту строку как определилась ищу .....ну а потом смотрю что там по близости ??? ----- RE In Progress [!] Coding Hazard [!] Stay Clear of this Cube |
|
|
Создано: 20 декабря 2006 02:53 · Поправил: tnt17 · Личное сообщение · #5 Да,например зомба,он расковырял базы av касперского. Ссылки на дамп его сайта, где-то на васме можно найти. Вот,читай - wasm.ru/forum/viewtopic.php?id=11448 ----- – Почему ты работаешь по ночам ? – Так удобнее... В одну смену с чертями... |
|
|
Создано: 20 декабря 2006 07:59 · Поправил: mak · Личное сообщение · #6 Про какого то больного чела .....вопроса на ответ нема .....похоже VDB это файл бызы ... больше вроде ни кто не ковырял базы ... 
Ладно буду пробовать win HEX ом. http://www.exelab.ru/f/action=vthread&forum=1&topic=5648&p age=-1, вот что надыбал .... ----- RE In Progress [!] Coding Hazard [!] Stay Clear of this Cube |
|
|
Создано: 20 декабря 2006 08:09 · Личное сообщение · #7 mak пишет: Ладно буду пробовать win HEX ом. Интересно что ты там нароешь ;) Думаешь все лежит в открытом виде? Типа: struct SLen dd Vname-$ Sign db 90h,00h,'?','*',90 Vname db 'MegaVirusName ;)',0 ends; А шифрование сигнатур?А оптимизация базы по размеру и по скорости поиска?Подумай логически... 
----- – Почему ты работаешь по ночам ? – Так удобнее... В одну смену с чертями... |
|
|
Создано: 20 декабря 2006 08:14 · Личное сообщение · #8 ......да я понимаю ......но другого выхода не вижу ....книгу Пирогова Дизасссемблирование 2006 года.....и вперед .....я по ссылке выше нашел .....потрошители баз ..... для доктор веба .....но старая прога ...и для касперского но она не качается ....
----- RE In Progress [!] Coding Hazard [!] Stay Clear of this Cube |
|
|
Создано: 20 декабря 2006 08:29 · Поправил: tnt17 · Личное сообщение · #9 Может быть стоит изучить движек антивируса, то каким образом он работает с базами,а потом,на основе полученной информации восстановить их формат? mak пишет: ......да я понимаю ......но другого выхода не вижу - это тоже не выход. Просто подумай немного сам, что толку биться головой о стену?
----- – Почему ты работаешь по ночам ? – Так удобнее... В одну смену с чертями... |
|
|
Создано: 20 декабря 2006 09:05 · Личное сообщение · #10 Что еще могу посоветовать: Ищи описание формата баз данных для ClamAV и качай его исходники. По нему восстановишь нужную тебе сигнатуру. Думаю, это будет проще чем париться с базами каспера. Не забывай конечно, что у разных АV, используются разные сигнатуры.
----- – Почему ты работаешь по ночам ? – Так удобнее... В одну смену с чертями... |
|
|
Создано: 20 декабря 2006 15:07 · Личное сообщение · #11 tnt17 пишет: Может быть стоит изучить движек антивируса, то каким образом он работает с базами,а потом,на основе полученной информации восстановить их формат Извини за выражение, но ты усрешься изучать. Легче написать девелоперу предложение о сотрудничестве и легально формат посмотреть. В паблике такой инфы разве не присутствуетъ? mak пишет: Ладно буду пробовать win HEX ом. Аналогично, ты усрешься еще круче. Ничего не зная о формате, изучать в винхексе - полный маразм ----- Харе курить веники и нюхать клей, к вам едет из Америки бог Шива, и он еврей. |
|
|
Создано: 20 декабря 2006 16:13 · Личное сообщение · #12 Crawler пишет: Легче написать девелоперу предложение о сотрудничестве и легально формат посмотреть. легче нойти зомбу и попросить сорцы его проги для работы с базами авп тогда 
Кравлер как вы думаете какой цвет шляпы у автора данного поста? и какой у авторов антивирусов? |
|
|
Создано: 20 декабря 2006 23:59 · Личное сообщение · #13 Crawler пишет: Извини за выражение, но ты усрешься изучать. Легче написать девелоперу предложение о сотрудничестве и легально формат посмотреть. В паблике такой инфы разве не присутствуетъ? Да неужели?Вы всегда по себе оцениваете людей? ----- – Почему ты работаешь по ночам ? – Так удобнее... В одну смену с чертями... |
|
|
Создано: 21 декабря 2006 01:42 · Личное сообщение · #14 Crawler пишет: Аналогично, ты усрешься еще круче. Ничего не зная о формате, изучать в винхексе - полный маразм ну и что ......я это делал ....тяжело ...знаю ....но возможно .......у меня получалось с другими базами ...... главное цель ....... Вообще флуд какойто ....конструктивнее надо  , а не на друг друга орать ....
P.S. я думал облегчить задачу ...... хотел узнать может кто разбирал базы антивирусов ...нет так нет..... хотя оч. интересное направление... ----- RE In Progress [!] Coding Hazard [!] Stay Clear of this Cube |
|
eXeL@B —› Основной форум —› Изменение ЕХЕ --- Антивирусы |
Для печати