| Сейчас на форуме: zombi-vadim, tyns777 (+5 невидимых) |
 |
eXeL@B —› Программирование —› Избавиться от Crypt.XPACK.Gen (AntiVir) |
| Посл.ответ | Сообщение |
|
|
Создано: 10 декабря 2007 13:25 · Поправил: GlOFF · Личное сообщение · #1 Пишу крипт\упаковщик. делаю примерно следующее: Расширяю последнюю секцию, пишу стаб, на оригинальной EP пишу прыжок на мой стаб (OEP потом востанавливаю), права секций выставляю первая-чтение\код, остальные-чтение\иниц.данные. На файлы пакованые Crypt.XPACK.Gen пишет. Может кто-то встречался с эвристикой Авиры.  |
|
|
Создано: 10 декабря 2007 13:31 · Личное сообщение · #2 GlOFF За чем тебе это нужно, плодить вирей. |
|
|
Создано: 10 декабря 2007 19:14 · Поправил: GlOFF · Личное сообщение · #3 VaZeR пишет: За чем тебе это нужно, плодить вирей. Риторически немного. Я вирями не пользуюсь. Может AntiVir прослеживает прижки из секции кода в другие секции и считает это прижок на декриптор. |
|
|
Создано: 10 декабря 2007 20:36 · Личное сообщение · #4 GlOFF пишет:Расширяю последнюю секцию Обычно вири так и делают. Пробуй TLS. ----- продавец резиновых утёнков |
|
|
Создано: 11 декабря 2007 19:33 · Личное сообщение · #5 Гм... У файла была нестандартная ImageBase сменил на 400000 - Crypt.XPACK.Gen пропало. Значит\возможно даже по базе антивирусы судят о наличие пакера\криптера. 
|
|
|
Создано: 11 декабря 2007 19:41 · Личное сообщение · #6 GlOFF Только по базе-не судят. В качестве 1 из параметров вполне может быть. |
|
|
Создано: 12 декабря 2007 12:06 · Личное сообщение · #7 GlOFF а после смены файл запускается? 
----- Пиво, сиськи, транс |
|
|
Создано: 12 декабря 2007 16:25 · Личное сообщение · #8 -= ALEX =- Ну при соответствующих модификациях конечно
|
|
|
Создано: 12 декабря 2007 21:32 · Поправил: SLV · Личное сообщение · #9 лучший совет это авиру в дебуггер... а ваще как файл может заработать после смены imagebase... если только там есть релоки и ты их фиксишь... ведь так?) ----- Shalom ebanats! |
|
|
Создано: 13 декабря 2007 00:46 · Личное сообщение · #10 SLV Стаб поставил на 400000, а на необходимый imagebase распаковывается файл. Релоков нету. |
|
|
Создано: 13 декабря 2007 01:25 · Личное сообщение · #11 SLV пишет: а ваще как файл может заработать после смены imagebase... если только там есть релоки и ты их фиксишь... ведь так?) в принципе ... можно и без релоков imagebase пофиксить 
|
|
|
Создано: 13 декабря 2007 02:20 · Поправил: SLV · Личное сообщение · #12 UsAr, доо... ну попробуй с помощью дизасма длин пофиксить чтото типа:
(намёк на код из малвары)... ----- Shalom ebanats! |
|
|
Создано: 13 декабря 2007 11:06 · Личное сообщение · #13 ну я так понял был какой-то конкретный файл? такое можно и руками пофиксить |
|
|
Создано: 13 декабря 2007 14:49 · Личное сообщение · #14 UsAr, как я понял речь идёт о написании криптора для малвары, а малвара бывает разная и азными методами может скрывать от авера работу со строками/переменными... я имел ввиду динамическое вычисление адреса... ----- Shalom ebanats! |
|
|
Создано: 13 декабря 2007 15:56 · Личное сообщение · #15 SLV пишет: .data szJopa db 'jopa',0 .code mov eax,offset szJopa xor ('LOL~') xor eax,('LOL~') invoke lstrlen,eax (намёк на код из малвары)... Жжошь
|
|
eXeL@B —› Программирование —› Избавиться от Crypt.XPACK.Gen (AntiVir) |
Для печати