Есть код для делфи, который надо вставить в программу, но антивирус этот код считает как вирус. Можно ли изменить код или программу, чтоб антивирус не ркгался.

| Сообщение посчитали полезным:

Vedrus пишет:
Можно ещё попробовать поглумиться над PE-заголовком, эвристики этого не любят.


Да, но тогда не факт, что будет на всех системах грузиться.

| Сообщение посчитали полезным:

На FTP-сервере Криса есть два файла
avp.silent.zip
avp.silent.bin.zip
Может кому помогут...

| Сообщение посчитали полезным:

Не знаю...... Каспера обходил путем подмены сигнатур.... Где-то у меня валялась прога (консоль), которую пихаешь в папку с базами каспера, вместе с файлом, который надо замаскировать..... И эта прога ищет сигнатуры для этого файла, а потом показывает адреса, где все это лежит.... Лезем в ЕХЕ-шник, и меняем.... Правда, прокатывает не всегда..... Но иногда работает.....
То Vedrus - а какой адрес его ФТП-шника? (все забываю
P.S. а вообще, предпочитаю различные манипуляции с пакерами-протекторами, и спуферами.......

-----
The blood swap....

| Сообщение посчитали полезным:

Johnson Finger
83.239.33.46:21
Login: cracklab

| Сообщение посчитали полезным:

Vedrus пишет:
83.239.33.46:21
Login: cracklab
Что-то не коннектится

| Сообщение посчитали полезным:

WASM@ftp://nezumi.org.ru, пробуте днём по Москве...

| Сообщение посчитали полезным:

GAMe ovER
~ с 15:00 до 5:00 по Москве

| Сообщение посчитали полезным:

Безусловно самый надежный способ обойти антивирус - правка экзешника ручками, вопрос уже исследован в деталях. Что касается автоматической обработки, то как вариант можно попробовать прогу Pe-patcher 2.5 + cryptor. Когда-то тестил результаты работы проги на антивирусе Касперского; результат - антивирь глухо молчал...

| Сообщение посчитали полезным:

Возьми закриптуй свой код нужной процедуры. Береш 4 байта, ксориш весь исполняемый код, который тебе надо спрятать, с этими байтами. Потом когда надо выполнить этот кода расксориваеш. И касп по сигнатурному поиску ничего не найдет.

| Сообщение посчитали полезным:

WoLFeR пишет:
Потом когда надо выполнить этот кода расксориваеш.
И в это время каспер тебя и поймает.

Ps. Твой метод может проканать, если не включен монитор

| Сообщение посчитали полезным:

Vedrus пишет:
И в это время каспер тебя и поймает.
Обломается, если делать кусками и динамически.
Раскриптовать часть, выполнить, закриптовать обратно и т.д.

| Сообщение посчитали полезным:

Vedrus пишет:
И в это время каспер тебя и поймает.

Ps. Твой метод может проканать, если не включен монитор

Хрен он что поймает. Он не сканет процес, и не ищет сигнатуру в памяти!!!! Он проверяет файл на диске. А файл будет покриптован.

Кста какой касп тебя палит 5 или 6?

| Сообщение посчитали полезным:

WoLFeR пишет:
Кста какой касп тебя палит 5 или 6?

Это было моё предположение.

| Сообщение посчитали полезным:

Вот именно так и сделал:
WoLFeR пишет:
Возьми закриптуй свой код нужной процедуры. Береш 4 байта, ксориш весь исполняемый код, который тебе надо спрятать, с этими байтами. Потом когда надо выполнить этот кода расксориваеш. И касп по сигнатурному поиску ничего не найдет.
(по может и не найдет... сначала... зато может пройти всю "ксорку" а потом еще раз проверить на сигнатуры) ...
как избавиться от трассировщика антивирусного ?
я зашифровал часть секции code exe-шника...(при запуске она расшифровывается)
все равно ловится Mcafee...
даже попробовал вначале jmp на себя сделать:
при загрузке такого exe-файла в память антивирус задумывается на
несколько секунд, а потом просто перекрывает к нему доступ блин...
как его сбить с толку?

| Сообщение посчитали полезным:

nikitosk
Дык тебе же написали -- частями это делать надобно...

-----
DREAMS CALL US

| Сообщение посчитали полезным:

дык тут хоть частями хоть не частями он даже к файлу с затычкой (jmp $0) доступа не дает... пройти не может: закрывает доступ...
даже с самой крутой защитой...в конечном итоге файл то все равно в памяти окажется распакованым... он его и поймает...
что делать то ?

| Сообщение посчитали полезным:

nikitosk пишет:
я зашифровал часть секции code exe-шника...(при запуске она расшифровывается)
все равно ловится Mcafee...

Ксор помогает обойти антивирь который сканит не процес а просто файл. В процесе понятно что все раскодировано. Хотя яб на твоем месте раскодировал бы выполнил, потом закодировал. Правда медленнее работать будет. И ксорить не весь код а именно тот который АВ считает бэдовым.

Во вторых найди сигнатуру по которой тебя палит макаффи. И поменяй в этой сигнатре хоть один байт и антивирь обломится. Или поменяй местами 2 команды в хекс редакторе И все будет пучком.

| Сообщение посчитали полезным:

а как найти эту самую сигнатуру ?!
по какому принципу ав выбирает данные для сигнатуры?

| Сообщение посчитали полезным:

nikitosk ну можно методом тыка. Заменяя в своём коде команды, и смотреть, как на это отреагирует ав

| Сообщение посчитали полезным:

nikitosk
Вроде, в какои то журнале, вроде Хакер, была по этому поводу. Но точно в Хакере была статья по скрытию трояна от ав

| Сообщение посчитали полезным:

Народ, кому интересна эта тема рекомендую почитать Криса Касперски. В частности "Записки исследователя компьютерных вирусов" (первая и вторая часть).

Можно взять на его FTP:
83.239.33.46:21
Login: cracklab

работает с 15:00 до 5:00 по москве.

ЗЫ. Чел пишет реально путевые вещи

| Сообщение посчитали полезным:

Vedrus
А сколько он весит без файлов, а тоя хочу почитать, а он весит 5метров с совсеми файлами, а они мне не нужны

| Сообщение посчитали полезным:

Так там и есть чисто текст. Там несколько глав лежат в разных архивах. Название архивов начинается с virii

| Сообщение посчитали полезным:

На каком-то сайте было сказано, что в архиве лежат и примеры. Надо будет все-таки скачать

| Сообщение посчитали полезным:

nikitosk пишет:
а как найти эту самую сигнатуру ?!
по какому принципу ав выбирает данные для сигнатуры?

Анализируеш касп и смотриш где он палит твою сигнатуру.
Можеш скинуть мне бинарник, или приатачить сюда я тебе найду твою многострадальную сигнатуру, могу патч написать по ее замене на идентичную но непалевную.

| Сообщение посчитали полезным:

И еще, что конкретно говорит АВП? Называет название виря, или говорит может быть апасный файл?

| Сообщение посчитали полезным:

2 WoLFeR ну конечно, название трояна он говорит , троян известный... A-311 Death.
WoLFeR пишет:
Можеш скинуть мне бинарник, или приатачить сюда я тебе найду твою многострадальную сигнатуру, могу патч написать по ее замене на идентичную но непалевную.
было бы интересно найти общий подход... но все равно спасибо
а вот Johnson Finger пишет:
Не знаю...... Каспера обходил путем подмены сигнатур.... Где-то у меня валялась прога (консоль), которую пихаешь в папку с базами каспера, вместе с файлом, который надо замаскировать..... И эта прога ищет сигнатуры для этого файла, а потом показывает адреса, где все это лежит.... Лезем в ЕХЕ-шник, и меняем.... Правда, прокатывает не всегда..... Но иногда работает.....
найти бы такое

| Сообщение посчитали полезным:

тут вычитал, что помочь может привязка кода к определенному адресу в памяти!
пошел пробовать!

| Сообщение посчитали полезным:

nikitosk пишет:
было бы интересно найти общий подход... но все равно спасибо

Общий подход в изменениии алгоритма троя. Вот тебе общий подход. Хотя сигнатура 13ти байт врятли изменися.

| Сообщение посчитали полезным:

Попробовал спрятать от Доктор-веба... Заксорил часть .CODE .... И все... не видит! А я то думал неплохой антивирус, оказывается ошибался...

и АВП не видит!

только mcAfee работает ка надо....

| Сообщение посчитали полезным: