 |
eXeL@B —› Вопросы новичков —› защита прог от антивиров |
| . 1 . 2 . >> |
| Посл.ответ | Сообщение |
|
|
Создано: 03 мая 2007 09:23 · Личное сообщение · #1 Мне удалось спрятать свою прогу от авто - разпаковщиков, PEID и заставить из думать что прога упакована PE Pack 1.0 но от антивирусов нет вот напримере обычного виндовс калькулятора как я прятал: Сначала я calc упаковал UPx-ом, дальше открыл calc hiew-ом. нажал enter и немного пролистал вниз: 000003В0 000003E0 000003F0 Нажимаю F3 и затираю сигны UPx. Вставляю мусор и F9. Далее F8,F5 попадаю в OEP листаю немного вниз и вижу кучу нулей. На любом адресе нажимаю F3 и: и сначала ввожу опкоды: 74 00 , затем на следущей строчке: E900000000 , Далее: mov eax,OEP jmp OEP F9 сохранил. Далее с помощю PE Tools меняю OEp на новый адрес где я вставил 74 00 Все PEID опредилил как PE Pack 1.0 а не UPX Но почему например KAV опредиляет что упакован UPX/PE Pack ? Помогите разобратся что нужно ещо поправить чтоб заткнуть антивир ? Как он опридилил что он упакован UPX ?  |
|
|
Создано: 03 мая 2007 18:12 · Личное сообщение · #2 xHamer пишет: Но почему например KAV опредиляет что упакован UPX/PE Pack ? каспер определяет тип файла? а что за прога,вирус что ли? и зачем надо её спрятать |
|
|
Создано: 03 мая 2007 18:22 · Личное сообщение · #3 xHamer пишет: Но почему например KAV опредиляет что упакован UPX/PE Pack ? а с чего ты вообще взял, что каспер и другие антивири детектят по сигнам с ЕР? Ведь есть и другие методы детекта, как например в известных анализаторах, DiE и RDG ;) Так что имхо если обманиш DiE и RDG в детекти, то обманиш и каспера )) |
|
|
Создано: 03 мая 2007 22:12 · Личное сообщение · #4 хехе, в антивирях эмуль есть (анализаторы этим похвастаться увы не могут), который раскалывет большинство скрамблеров... Почитай, полно статей на эту тему. з.ы. всё таки не "защита прог от антивиров", а "всрытия троев от антивиря" ----- [nice coder and reverser] |
|
|
Создано: 03 мая 2007 22:43 · Поправил: bash · Личное сообщение · #5 xHamer пишет: Как он опридилил что он упакован UPX ? Если используется эмуль, то он просто даст распаковаться и определится сам вирь, а до упаковщика - как до лампочки, но если идёт распаковка известного пакера и тебе сказано, что упаковано UPX, значит ты наверное сигны хреново затёр... (на правах догадок) |
|
|
Создано: 03 мая 2007 23:04 · Личное сообщение · #6 Hellspawn пишет: всё таки не "защита прог от антивиров", а "всрытия троев от антивиря" статья 17...какая-то УК РФ, распространение вредосного ПО, до 10 лет 
|
|
|
Создано: 01 июня 2007 22:01 · Поправил: xHamer · Личное сообщение · #7 статья 17...какая-то УК РФ, распространение вредосного ПО, до 10 лет Молчал бы. За взлом прог тоже дают немало 
|
|
|
Создано: 01 июня 2007 22:06 · Личное сообщение · #8 Повторю вопрос по другому: Как заставить думать антивируса что трой упакован не UPX а AsPack ? Дайте ссылку на статтю или чота в етом роде. |
|
|
Создано: 01 июня 2007 22:10 · Личное сообщение · #9 Godzilla пишет: а что за прога,вирус что ли? Я непонимаю зачем вобще вирусы они же даже неприносят некакой пользы !!! Только портят данны, проги, короче ползучии гады. Меня интирисуют только трои 
и зачем надо её спрятать А ты недогадался ? |
|
|
Создано: 02 июня 2007 00:23 · Личное сообщение · #10 CRACKL@B - Портал исследования защиты программ, а не портал по написанию троев и вирей. ----- Я ещё не волшебник, я только учусь... |
|
|
Создано: 02 июня 2007 07:38 · Личное сообщение · #11 Assass1n пишет: а не портал по написанию троев и вирей. А я писать трои нособираюсь и особенно вири. Я просто хочу обмануть антивири. |
|
|
Создано: 02 июня 2007 07:59 · Личное сообщение · #12 надо же, уровень интелекта скрипт-кидисов поднялся до правильной регистрации на cracklab. Может быть пора усложнить анкету? xHamer, повесь на свой пинч экзекриптор. Или темиду. |
|
|
Создано: 02 июня 2007 19:12 · Личное сообщение · #13 Gideon Vi пишет: повесь на свой пинч экзекриптор. Или темиду. Я могу покруче спрятать за всякие ехе крипторы которые только портят ехешник с помощю hiew, упаковщиков, и PE Tools. Только я хочу еще круче спрятать. Некоторые антивири опридилают трой по RSRC От этого метода спасает или развести антивир и заставить эво неплавильно неопридилять упаковщик или самому поправить эти ресурсы. Изменив один байт, файл больше необнаруживается. Здесь какраз сложно найти ету сигну... Может кто-то подскажет прожку в которой есть опция crypt RSRC ? |
|
|
Создано: 02 июня 2007 23:24 · Личное сообщение · #14 Вообще-то можно потрассировать/посмотреть сам "каспер" (или как его там?)и понять что именно он смотрит, но "водка - это трудная вода". Если это эмулятор или эвристик+эмулятор, то можно попробовать (старое, но вдруг?): mov ecx,0FFFFFFh @@AnnoyKasper: xchg eax,ebx xchg ebx,eax loop @@AnnoyKasper - типа он задолбаецца трассировать многа... но не fuck'т. ----- The one derivative you manage is the one I abhore (c) Slipknot |
|
|
Создано: 03 июня 2007 12:09 · Поправил: xHamer · Личное сообщение · #15 Chingachguk пишет: (или как его там?) От каспера и "2 летний ребенок может спрятать" а от McAfee, Avast это проблема. McAfee смотрит не на OEP (точку старта проги) а RSRC ресурсы !!! Avast смотрит и так и так смотря какой трой. |
|
|
Создано: 03 июня 2007 14:41 · Личное сообщение · #16 Да, McAfee и Avast - это головы
|
|
|
Создано: 03 июня 2007 22:15 · Личное сообщение · #17 asd пишет: Да, McAfee и Avast - это головы Я это и сам знаю. А как спрятать нет. |
|
|
Создано: 04 июня 2007 01:22 · Личное сообщение · #18 Chingachguk xHamer asd Неудачнеки? Вам что на васме места мало? Бесплатно халявы хотите? %))) Или вы хотите купить знания честно, и за большие деньге? ----- ЗЫ: истЕна где-то рядом, Welcome@Google.com |
|
|
Создано: 04 июня 2007 02:45 · Личное сообщение · #19 Demon666 пишет: Или вы хотите купить знания честно, и за большие деньге? да-да-да, а потом выложить их (знания) на паблик, чтоб барыге пусто было |
|
|
Создано: 04 июня 2007 05:21 · Личное сообщение · #20 Demon666 Язык свой попридержи. Если ты не знаешь откуда взялась моя фраза - иди класику почитай. |
|
|
Создано: 04 июня 2007 09:49 · Личное сообщение · #21 Demon666 Ты что, дурак? Я у кого-то что-то спрашивал?
----- The one derivative you manage is the one I abhore (c) Slipknot |
|
|
Создано: 05 июня 2007 01:23 · Личное сообщение · #22 Demon666 пишет: Неудачнеки? Незнаю кто тут неудачник но ты точно 666 |
|
|
Создано: 05 июня 2007 01:24 · Личное сообщение · #23 Demon666 пишет: Бесплатно халявы хотите? А где ты выдел халяву небисплатную ?
|
|
|
Создано: 05 июня 2007 01:35 · Поправил: xHamer · Личное сообщение · #24 Chingachguk пишет: mov ecx,0FFFFFFh @@AnnoyKasper: xchg eax,ebx xchg ebx,eax loop @@AnnoyKasper Это типа в OEP нужно всунуть ? Против McAfee непокатит. Нужно найти круптера RSRC ресурсов чтоб понят принцип эво работы и тогда все ручками можно сделать. Если кто-то поможет эво найти буду очень благодарен !!! |
|
|
Создано: 05 июня 2007 11:16 · Личное сообщение · #25 Посмотри Fake Signer'ы что бы понять как обманывать всякие анализаторы. Для шифрования: открой свой файлик в каком-нить нормальном Hex-редакторе(например HexWorkshop), сделай ксорку куска кода(можно же и ресурсы шифрануть). Напиши процедуру разксорки в коде. Только что бы оно было довольно-таки по хитропопому выглядела - встраивай вызовы стандартных апи функций (типа GetModuleHandle, GetCommandLine) их в начало процедурки пихнёш. А вот на окончании - сделай зашифрованным переходник на ОЕР типа: xor dword ptr ds:[eax],ecx xor dword ptr ds:[eax+1],ebx тут какая-то абра-кадабра, которая после предыдущих команд должна превратиться в jmp OEP ----- все багрепорты - в личные сообщения |
|
|
Создано: 05 июня 2007 12:03 · Личное сообщение · #26 HandMill,этим можно только PEiD и подобные ему обмануть. (Для примера, вот файлик, ксорящий первую секцию -> Link http://dump.ru/files/g/g60724560/ ) Нормальные антивири нужно обманывать через внедерение мусорного кода в тело самого вируса, и то, не всегде помагает. |
|
|
Создано: 05 июня 2007 13:36 · Личное сообщение · #27 > Это типа в OEP нужно всунуть ? Против McAfee непокатит. Я в этом не разбираюсь Просто давно я так один эвристик заставил отказаться от мысли, что тут можно добиццо конца вычислений. Ведь антивирус - это программа, ограниченная во времени выполнения (не может же она часами каждый файл изучать), а потому в ней должен быть выход по таймауту, хотя уже "совсем близко" до расшифровки "LoadLibrary".
В-принципе, можно выяснить "делением пополам" что же не нравицца ему с данным конкретным файлом не прибегая к дизассемблированию антивируса. Допустим (если я верно понял) он находит (по сигнатурам или еще как-то) что-то "страшное" в ресурсах (-? повторюсь, я очень плохо разбираюсь) - это твоя рабочая гипотеза. Затри половинку ресурсов чем-нибудь и подсунь ему ее на анализ. То, что файл станет нерабочим - неважно, это эксперимент. Если после этого он скажет, что все едино - внутри "тварь", то затри другую половину ... ...Ладно, хватит дилетантских хинтов 
----- The one derivative you manage is the one I abhore (c) Slipknot |
|
|
Создано: 06 июня 2007 09:23 · Личное сообщение · #28 Chingachguk пишет: Допустим (если я верно понял) он находит (по сигнатурам или еще как-то) что-то "страшное" в ресурсах xHamer, если это действительно так - то тогда помоему до  - шифровать их или нет, ведь ты же один фиг будешь оттудава их выполнять, тоесть выполнять CreateProcess
----- все багрепорты - в личные сообщения |
|
|
Создано: 11 ноября 2007 18:08 · Личное сообщение · #29 Короче протестил Avast на Micro Joineri: 
После изменения одно байта антивир молчит вот только
прога - в прил. обнаружена ошибка и оно будез закрыто 
перебрал все варианты от 00 до FF непомогло  2aab_11.11.2007_CRACKLAB.rU.tgz - MicroJoiner.exe
|
|
|
Создано: 12 ноября 2007 17:32 · Личное сообщение · #30 не правильный подход =) засунь в дизасм и глянь что там за комманда, ну и измени на аналогичную или jmp там сделай на пустое песто, а там впиши эту команду... ----- [nice coder and reverser] |
| . 1 . 2 . >> |
|
eXeL@B —› Вопросы новичков —› защита прог от антивиров |
| Эта тема закрыта. Ответы больше не принимаются. |
Для печати