 |
eXeL@B —› Вопросы новичков —› защита прог от антивиров |
| << . 1 . 2 . |
| Посл.ответ | Сообщение |
|
|
Создано: 03 мая 2007 09:23 · Личное сообщение · #1 Мне удалось спрятать свою прогу от авто - разпаковщиков, PEID и заставить из думать что прога упакована PE Pack 1.0 но от антивирусов нет вот напримере обычного виндовс калькулятора как я прятал: Сначала я calc упаковал UPx-ом, дальше открыл calc hiew-ом. нажал enter и немного пролистал вниз: 000003В0 000003E0 000003F0 Нажимаю F3 и затираю сигны UPx. Вставляю мусор и F9. Далее F8,F5 попадаю в OEP листаю немного вниз и вижу кучу нулей. На любом адресе нажимаю F3 и: и сначала ввожу опкоды: 74 00 , затем на следущей строчке: E900000000 , Далее: mov eax,OEP jmp OEP F9 сохранил. Далее с помощю PE Tools меняю OEp на новый адрес где я вставил 74 00 Все PEID опредилил как PE Pack 1.0 а не UPX Но почему например KAV опредиляет что упакован UPX/PE Pack ? Помогите разобратся что нужно ещо поправить чтоб заткнуть антивир ? Как он опридилил что он упакован UPX ?  |
|
|
Создано: 12 ноября 2007 19:13 · Личное сообщение · #2 xHamer пишет: Как заставить думать антивируса что трой упакован не UPX а AsPack Есть такой протектор-EPProt, он позволяет в процессе упаковки записывать в файл подложные сигнатуры. |
|
|
Создано: 12 ноября 2007 19:14 · Личное сообщение · #3 ты чо изменял по байтеку, пока не обманул авер? офигеть, брутфорс какой-то )) но имхо не так все просто, наверняка там кокой-то важный опкод (вообще F2 - это REPNE вроде, сталобыть расшифровка какая-то, а значед не расшифровалось тело вируса, потому и детектить нечего ;)) ----- invoke OpenFire |
|
|
Создано: 12 ноября 2007 23:14 · Личное сообщение · #4 Чо я неправильно сделал ? Открил microJoiner в Olly, далее нашол адрес 41EEB4:AND EAX,66C97DF2 нажал пробел на этом адресе и jmp 420D76 далее 420D76:AND EAX,66C97DF2 420D76:RET Save После этого непалится и не работает прога 
|
|
|
Создано: 12 ноября 2007 23:38 · Личное сообщение · #5 xHamer пишет: 420D76:AND EAX,66C97DF2 420D76:RET какой в жопу рет? jmp обратно делай мля! 
----- [nice coder and reverser] |
|
|
Создано: 12 ноября 2007 23:39 · Поправил: Satyr · Личное сообщение · #6 нафига RET написал без CAlla или PUSHа у тебя же стек обламывается. Мог бы просто JMP xxxxxxxx сделать. Hellspawn на полторы минуты опередил :=) |
|
|
Создано: 12 ноября 2007 23:55 · Личное сообщение · #7 Chingachguk пишет: mov ecx,0FFFFFFh @@AnnoyKasper: xchg eax,ebx xchg ebx,eax loop @@AnnoyKasper бугага, каспер сразу молчит.. |
|
|
Создано: 13 ноября 2007 09:00 · Личное сообщение · #8 ну и че? вот когда алго восстановится (т.е. сделаешь jmp или call) вот тогда авер и проснецо, потому что, как я уже говорил, просто джоинер не может сделоть свое дело, то есть распаковать вирь или еще чо (имхо).. а джампы не спасут тебя (опять имхо) ----- invoke OpenFire |
|
|
Создано: 13 ноября 2007 17:53 · Личное сообщение · #9 xHamer пишет: После изменения одно байта антивир молчит вот только прога - в прил. обнаружена ошибка и оно будез закрыто перебрал все варианты от 00 до FF непомогло LOL – (второй раз в жизни использую это "словечка). Антивиь молчит, потому что код не запускается, а не потому, что ты нашел некий сигнатурный байт. Дружно скажем – нет троянам! ----- Всем привет, я вернулся |
| << . 1 . 2 . |
|
eXeL@B —› Вопросы новичков —› защита прог от антивиров |
| Эта тема закрыта. Ответы больше не принимаются. |
Для печати