 |
eXeL@B —› Программирование —› при изменении imagebase у файла avira av кричит на файл |
| Посл.ответ | Сообщение |
|
|
Создано: 24 марта 2009 23:09 · Личное сообщение · #1 привет cracklab! у меня такая проблема, кто че посоветует? при изменении imagebase у ехе файла avira (антивирус) кричит на файл, то что он DR/Delphi.Gen как мне избавиться от ложных сробатываний?  |
|
|
Создано: 24 марта 2009 23:36 · Личное сообщение · #2 отошли файл в саппорт ----- Shalom ebanats! |
|
|
Создано: 24 марта 2009 23:45 · Личное сообщение · #3 SLV пишет: отошли файл в саппорт а если у мя прога для смены ib и добавления своей секции, мне каждый новый файл слать в саппорт? 
|
|
|
Создано: 24 марта 2009 23:57 · Личное сообщение · #4 ну тогда работай в чистой варе. ты уж там сам хозяин.
|
|
|
Создано: 25 марта 2009 00:39 · Личное сообщение · #5 demien в авире добавь папку с проектом как исключенную из поиска и не парься |
|
|
Создано: 25 марта 2009 00:41 · Личное сообщение · #6 Давно заметил что авира не антивирус вовсе, а отличный сканер PE файлов. Шаг влево, шаг вправо от стандартов честных приложений и авира поднимает тревогу. Image base для нее как как красная тряпка для быка
SLV пишет: отошли файл в саппорт Ниче они менять не будут 100%, они даже сигнатуры не делают, имхо. Поставьте image base у любого файла 13140000h посмотрите на реакцию многих аверов. ----- Nulla aetas ad discendum sera |
|
|
Создано: 25 марта 2009 01:29 · Личное сообщение · #7 Flint пишет: они даже сигнатуры не делают, имхо между тем, у авриры очень и очень неплохой сигнатурный детект. Раздражает отсутствие галки типа Добавить приложение в доверенное |
|
|
Создано: 25 марта 2009 11:06 · Поправил: HiEndsoft · Личное сообщение · #8 Попробуй CRC файла в PE-заголовке на валидный исправить. Хотя, возможно антивирус занес хеш файла в свою базу (как это многие фаерволы делают) и теперь орёт..тогда попробуй его переименовать. Вообще странно, ак как же Dinamicbase? ----- продавец резиновых утёнков |
|
|
Создано: 25 марта 2009 14:04 · Личное сообщение · #9 HiEndsoft пишет: Попробуй CRC файла в PE-заголовке на валидный исправить. Хотя, возможно антивирус занес хеш файла в свою базу (как это многие фаерволы делают) и теперь орёт..тогда попробуй его переименовать. Вообще странно, ак как же Dinamicbase? а програмно это как-то можно зделать ? |
|
|
Создано: 25 марта 2009 14:35 · Личное сообщение · #10 Ara пишет: между тем, у авриры очень и очень неплохой сигнатурный детект. Раздражает отсутствие галки типа Добавить приложение в доверенное эта опция добавилась с выходом в4ера новой версии авиры, проапдейться ----- HOW MUCH BLOOD WOULD YOU SHED TO STAY ALIVE |
|
|
Создано: 25 марта 2009 18:10 · Поправил: HiEndsoft · Личное сообщение · #11 demien пишет: а програмно это как-то можно зделать ? 1. программно - изучив PE-формат и CRC алго или поискав исходники. 2. Можно при помощи сторонней программы PE-tools или CFF-Explorer, к примеру. вообще попробуй запустить прогу с измененной imagebase на машине, где авира ее еще вообще не видела. ----- продавец резиновых утёнков |
|
|
Создано: 25 марта 2009 22:07 · Личное сообщение · #12 HiEndsoft пишет: или поискав исходники если у кого-нить есть или завалялась линка, поделитесь пожалусто... HiEndsoft пишет: вообще попробуй запустить прогу с измененной imagebase на машине, где авира ее еще вообще не видела пробовал та же история DR/Delphi.Gen кричит! HiEndsoft пишет: Можно при помощи сторонней программы PE-tools или CFF-Explorer, к примеру. а подробнее... что именно там нужно зделать ? |
|
|
Создано: 25 марта 2009 23:22 · Личное сообщение · #13 Клацнуть на ? рядом с полем checksum ----- Stuck to the plan, always think that we would stand up, never ran. |
|
|
Создано: 25 марта 2009 23:33 · Личное сообщение · #14 Можете не парится не поможет! Кричит именно на image base нестандартный. Либо оставляйте как у нормальных файлов 00400000h или 01000000h, либо забейте на авиру. P.S. Имхо, там дибилы сидят, они и по иконке exe файла сигнатуры делают даже (проверено). ----- Nulla aetas ad discendum sera |
|
|
Создано: 25 марта 2009 23:47 · Личное сообщение · #15 зделал rebuild pe, никаких результатов после обработки любого исполняемого файла авира кричит на него как DR/Delphi.Gen, к примеру на notepad.exe (стандартный) после обработки! еще предложения ...? |
|
|
Создано: 26 марта 2009 09:39 · Личное сообщение · #16 HiEndsoft, ты бухой? какое CRC, там инверсия суммы байтов. и как раз на него всем аверам насрать. и как переименование файла изменит его хеш? и причём тут dynamic base в exe. ----- Shalom ebanats! |
|
|
Создано: 26 марта 2009 10:48 · Личное сообщение · #17 SLV пишет: ты бухой? какое CRC, там инверсия суммы байтов. и как раз на него всем аверам насрать. и как переименование файла изменит его хеш? и причём тут dynamic base в exe. 1.Не бухаю уже месяц.
2. Переименование файла не хеш изменит, а заставит вписать хеш нового файла в базу хешей; 3. ChekSum = CRC изменяется при изменении imagebase файла. 4. Flint пишет: Можете не парится не поможет! Кричит именно на image base нестандартный. Либо оставляйте как у нормальных файлов 00400000h или 01000000h, либо забейте на авиру. P.S. Имхо, там дибилы сидят, они и по иконке exe файла сигнатуры делают даже (проверено). ----- продавец резиновых утёнков |
|
|
Создано: 26 марта 2009 10:57 · Личное сообщение · #18 Flint пишет: Можете не парится не поможет! Кричит именно на image base нестандартный. Либо оставляйте как у нормальных файлов 00400000h или 01000000h, либо забейте на авиру. меняю через пе эдитор иб на эталон, делаю rebuild pe, validate pe авире по*... естьу кого мысли как её заткнуть ? |
|
|
Создано: 26 марта 2009 11:09 · Личное сообщение · #19 demien нах снеси, и поставь авер, который добавляет в исключенияе NOD32 4.0 или другой ----- minimaL_patсh на руборде |
|
|
Создано: 26 марта 2009 15:26 · Личное сообщение · #20 Смотрел я смотрел на этот топик. Ни о чём он, пиши в саппорт/убей авиру или терпи. |
|
eXeL@B —› Программирование —› при изменении imagebase у файла avira av кричит на файл |
| Эта тема закрыта. Ответы больше не принимаются. |
Для печати