Привет парни. Вот мучаюсь с одной проблемой, вся работа встала ((.
Суть: скомпилировал dll (на Delphi 7), и антивир (Касперский) определяет её как
вирус. Есть способы, предложения как вылечить это? Пробовал по
рекомандации журнала Хакер юзать DotFix FakeSigner, антивир успокайвался,
но и экспорт процедуры становился невозможным (((. Помогите плиз,
во взломе я 0, only programming.

| Сообщение посчитали полезным:

А что конкретно пишет каспер ?

| Сообщение посчитали полезным:

Joker-jar, если позволяет проэкт, можно упаковать. Тем же WinUPack.

| Сообщение посчитали полезным:

Gideon Vi пишет:
Joker-jar, если позволяет проэкт, можно упаковать

А что каспер винупак не берет ?

| Сообщение посчитали полезным:

TOG пишет:
винупак глючный ,не на всех системах потом работать будет.Я поцану сделал в университет программу,она дома у него запустилась а в универе нет.Не запакованая прога работала потом нормально.Если можешь отошли мне длл(код) я посмотрю denisdi2@hotmail.ru

-----
M&#225 enginn renna undan &#254v&#237 sem honum er skapa&#240

| Сообщение посчитали полезным:

сейчас выскажется Др.Голова. ждём... =)

| Сообщение посчитали полезным:

Joker-jar
Если длл не слишком большая, может выложишь оба варианта ( с дотфиксом и без), потестить антивирь.

| Сообщение посчитали полезным:

А что каспер винупак не берет ?

Угу.

винупак глючный ,не на всех системах потом работать будет.

Это можно сказать о любом пакере У меня проблем небыло.

| Сообщение посчитали полезным:

> Суть: скомпилировал dll (на Delphi 7), и антивир (Касперский) определяет её как вирус.

Значит 99 из 100 что это малвара, и ты ее не написал, а скомпилил с чужого малварного проекта.

> А что каспер винупак не берет ?

Берет все офицальные версии

> винупак глючный ,не на всех системах потом работать будет.

Некоторый версии не будут работать на половине систем кроме WinXP, но афтор понял проблему так что начиная с 0.36 все полностью совместимо. Но с длл он работает крайне плохо, хотя если нет ресурсов и тлс, то должен зажать нормально =)

| Сообщение посчитали полезным:

dll содержит процедуру, скрывающую процесс в XP по иго PID. Вот она, ничем не упакована. Сразу скажу,
что вири или трояны я не пишу. . Если надо, выложу исходник, может внутри строк надо какой-нибудь перекрывающий код написать.

6622_Manager.dll.zip

| Сообщение посчитали полезным:

Мдда
По адресу 40863F инструкция mov eax, 4085E0 касперу явно не по душе. Только она одна.

| Сообщение посчитали полезным:

Хмм, BitDefender ничего не находит....

| Сообщение посчитали полезным:

Я честно говоря не очень фкурил почему, но такую конструкцию каспер уже не палит:
40863D: mov eax, 4085E0
408642: nop
408643: nop
408644: call 4045F8

Мистика.

а было так:
40863F: mov eax, 4085E0
408644: call 4045F8

Т.е. что же это ......... пара нопов и касперу конец ? Очень странно.

| Сообщение посчитали полезным:

Я хочу эту dll использовать в своей программе, клавиатурном шпионе. Поэтому эту длл желательно отучить от всех антивиров, не обязательно от касперского. Для справки:
Программа шпион Actual Spy абсолютно невидима во всех операционных системах (даже в процессах Windows NT/2000/XP) и не обнаруживается антивирусами.
Незнаю как они это сделали, прогу эту не видел. Возможно эта процедура также вынесена в отдельную dll, т.к. там используется глобальная ловушка, которая запускается только из длл. Но факт: не обнаруживается антивирусами!

| Сообщение посчитали полезным:

Joker-jar пишет:
Но факт: не обнаруживается антивирусами!
А где ее найти?

| Сообщение посчитали полезным:

TOG, а на функциональности самой длл это как нибедь сказывается? А dr. Web как реагирует?

function HideProcess(pidWORD; HideOnlyFromTaskManager:BOOL):BOOL;
где
pid - идентификатор процесса, который нужно спрятать

HideOnlyFromTaskManager - нужно ли прятать процесс только от TaskManager'а, или же от остальных программ, использующих для получения списка процессов функцию NtQuerySystemInformation из ntdll.dll.

| Сообщение посчитали полезным:

www.actualspy.ru/download.html

| Сообщение посчитали полезным:

Joker-jar пишет:
. там используется глобальная ловушка, которая запускается только из длл. Но факт: не обнаруживается антивирусами!

Имхо ловушки и хороший кейлогер - это понятия несовместимые.
Сейчас существуют программы направоение специально на поиск кейлогеров, это AntyKeylogger, HookMonitor, Privacy Keyboard и.др.
Поэтому многие технологии, такие как ловушки, GetAsyncKeyState и инжект длл - это вчерашний день.

P.S. Действительно хороших кейлогеров которые обходят antyspy программы, на паблике врядли увидишь.

-----
Скажем дружно - нафиг нужно.

| Сообщение посчитали полезным:

Joker-jar пишет:
Сразу скажу,
что вири или трояны я не пишу.
Joker-jar пишет:
Я хочу эту dll использовать в своей программе, клавиатурном шпионе.

Гы Гы Лол!
Твоя прога сразу попадет в антивирусные базы.

Ms-Rem прав ИМХО...

| Сообщение посчитали полезным:

MS-Rem, я имел ввиду ловушка используется для скрытия процесса. wh_cbt. В таком случае, есть ли еще способы скрыть процесс?

| Сообщение посчитали полезным:

Joker-jar пишет:
В таком случае, есть ли еще способы скрыть процесс?

Да дофига таких способов. Набери хотя-бы в яндексе запрос "перехват API" и найдешь все что надо на эту тему.
А вообще, для скрытия процессов лучше юзать свои оригинальные способы, а не то что есть на паблике.

-----
Скажем дружно - нафиг нужно.

| Сообщение посчитали полезным:

Извиняйте народза офтопик, но всё же:
этот Actual Spy v.2.7
меня таки заинтересовал.
Но он типа денег просит...
Собственно ни кто не пробовал ломать её?
На варезниках только старые версии...

з.ы.
Ещё раз дико извиняюсь за офтоп.
=)

-----
AutoIt

| Сообщение посчитали полезным:

Меня интересует лишь XP. Там это не так то просто

| Сообщение посчитали полезным:

Люди, помойму дискуссия ушла совсем не в то русло. Напоминаю:
необходимо сделать чтоб антивирусы не определяли данную длл как вирус,
либо сделать вывод, что это невозможно

| Сообщение посчитали полезным:

Joker-jar пишет:
необходимо сделать чтоб антивирусы не определяли данную длл как вирус

Да я ж тебе написал что делать. Пару нопов вбей !!! Ни каспер, ни дрвеб ее палить уже не будут !
Адрес: 40863F.
Это почти на точке входа. Перед вызовом OpenFileMapping вызывается еще какая-то твоя процедура,
а перед ней: mov eax, 4085E0. Между этим мовом и коллом вбей нопы.

| Сообщение посчитали полезным:

Можешь сделать и здесь оставить плиз! Я просто говорил, что в этих вещах 0. Буду очень благодарен.

| Сообщение посчитали полезным:

Ёмаё ! Это делается на этапе разработки. Ты, что мне будешь присылать этот длл после каждой
перекомпиляции ? Я щас глянул, нет там места чтобы хоть один байт лишний вставить.
Ты просекаешь тему ?
хотя стоп. вроде есть

Вот. Вроде есть. Блин - местами инструкции переставил и уже антивирь не палит. Куда мы катимся

| Сообщение посчитали полезным:

вот аттач.

74df_6000.dll.zip

| Сообщение посчитали полезным:

TOG пишет:
Блин - местами инструкции переставил и уже антивирь не палит. Куда мы катимся
ага, я давно говорил - КАЛ жжет. Типа-супер-пупер-анализатор-кода а на деле тупой сигнатурный скан. тьфу...

| Сообщение посчитали полезным:

>>Типа-супер-пупер-анализатор-кода

хехе, супер-пупер маркетинговый отдел. )

| Сообщение посчитали полезным: