Сейчас на форуме: bartolomeo, hgdagon (+7 невидимых)

 eXeL@B —› Программирование —› Как скрыть код от антивируса.
<< . 1 . 2 .
Посл.ответ Сообщение

Ранг: 45.5 (посетитель)
Активность: 0.050
Статус: Участник

Создано: 25 февраля 2006 15:46
· Личное сообщение · #1

Есть код для делфи, который надо вставить в программу, но антивирус этот код считает как вирус. Можно ли изменить код или программу, чтоб антивирус не ркгался.



Ранг: 71.6 (постоянный)
Активность: 0.060
Статус: Участник

Создано: 12 марта 2006 18:57
· Личное сообщение · #2

Vedrus пишет:
Можно ещё попробовать поглумиться над PE-заголовком, эвристики этого не любят.



Да, но тогда не факт, что будет на всех системах грузиться.



Ранг: 60.4 (постоянный)
Активность: 0.030
Статус: Участник

Создано: 14 марта 2006 16:11
· Личное сообщение · #3

На FTP-сервере Криса есть два файла
avp.silent.zip
avp.silent.bin.zip
Может кому помогут...




Ранг: 207.4 (наставник)
Активность: 0.210
Статус: Участник
Jeefo Recovery

Создано: 14 марта 2006 18:35
· Личное сообщение · #4

Не знаю...... Каспера обходил путем подмены сигнатур.... Где-то у меня валялась прога (консоль), которую пихаешь в папку с базами каспера, вместе с файлом, который надо замаскировать..... И эта прога ищет сигнатуры для этого файла, а потом показывает адреса, где все это лежит.... Лезем в ЕХЕ-шник, и меняем.... Правда, прокатывает не всегда..... Но иногда работает.....
То Vedrus - а какой адрес его ФТП-шника? (все забываю
P.S. а вообще, предпочитаю различные манипуляции с пакерами-протекторами, и спуферами.......

-----
The blood swap....




Ранг: 60.4 (постоянный)
Активность: 0.030
Статус: Участник

Создано: 15 марта 2006 02:46
· Личное сообщение · #5

Johnson Finger
83.239.33.46:21
Login: cracklab



Ранг: 45.5 (посетитель)
Активность: 0.050
Статус: Участник

Создано: 17 марта 2006 17:09
· Личное сообщение · #6

Vedrus пишет:
83.239.33.46:21
Login: cracklab

Что-то не коннектится



Ранг: 72.3 (постоянный)
Активность: 0.040
Статус: Участник

Создано: 17 марта 2006 17:58 · Поправил: sER
· Личное сообщение · #7

WASM@ftp://nezumi.org.ru, пробуте днём по Москве...



Ранг: 60.4 (постоянный)
Активность: 0.030
Статус: Участник

Создано: 17 марта 2006 18:24
· Личное сообщение · #8

GAMe ovER
~ с 15:00 до 5:00 по Москве



Ранг: 17.0 (новичок)
Активность: 0.010
Статус: Участник

Создано: 18 марта 2006 15:09
· Личное сообщение · #9

Безусловно самый надежный способ обойти антивирус - правка экзешника ручками, вопрос уже исследован в деталях. Что касается автоматической обработки, то как вариант можно попробовать прогу Pe-patcher 2.5 + cryptor. Когда-то тестил результаты работы проги на антивирусе Касперского; результат - антивирь глухо молчал...



Ранг: 74.4 (постоянный)
Активность: 0.050
Статус: Участник

Создано: 21 марта 2006 17:20
· Личное сообщение · #10

Возьми закриптуй свой код нужной процедуры. Береш 4 байта, ксориш весь исполняемый код, который тебе надо спрятать, с этими байтами. Потом когда надо выполнить этот кода расксориваеш. И касп по сигнатурному поиску ничего не найдет.



Ранг: 60.4 (постоянный)
Активность: 0.030
Статус: Участник

Создано: 21 марта 2006 17:48
· Личное сообщение · #11

WoLFeR пишет:
Потом когда надо выполнить этот кода расксориваеш.

И в это время каспер тебя и поймает.

Ps. Твой метод может проканать, если не включен монитор



Ранг: 54.9 (постоянный)
Активность: 0.020
Статус: Участник

Создано: 21 марта 2006 17:56
· Личное сообщение · #12

Vedrus пишет:
И в это время каспер тебя и поймает.

Обломается, если делать кусками и динамически.
Раскриптовать часть, выполнить, закриптовать обратно и т.д.



Ранг: 74.4 (постоянный)
Активность: 0.050
Статус: Участник

Создано: 21 марта 2006 21:27
· Личное сообщение · #13

Vedrus пишет:
И в это время каспер тебя и поймает.

Ps. Твой метод может проканать, если не включен монитор


Хрен он что поймает. Он не сканет процес, и не ищет сигнатуру в памяти!!!! Он проверяет файл на диске. А файл будет покриптован.

Кста какой касп тебя палит 5 или 6?



Ранг: 60.4 (постоянный)
Активность: 0.030
Статус: Участник

Создано: 22 марта 2006 02:44
· Личное сообщение · #14

WoLFeR пишет:
Кста какой касп тебя палит 5 или 6?


Это было моё предположение.



Ранг: 43.0 (посетитель)
Активность: 0.030
Статус: Участник

Создано: 22 марта 2006 16:10 · Поправил: nikitosk
· Личное сообщение · #15

Вот именно так и сделал:
WoLFeR пишет:
Возьми закриптуй свой код нужной процедуры. Береш 4 байта, ксориш весь исполняемый код, который тебе надо спрятать, с этими байтами. Потом когда надо выполнить этот кода расксориваеш. И касп по сигнатурному поиску ничего не найдет.

(по может и не найдет... сначала... зато может пройти всю "ксорку" а потом еще раз проверить на сигнатуры) ...
как избавиться от трассировщика антивирусного ?
я зашифровал часть секции code exe-шника...(при запуске она расшифровывается)
все равно ловится Mcafee...
даже попробовал вначале jmp на себя сделать:
при загрузке такого exe-файла в память антивирус задумывается на
несколько секунд, а потом просто перекрывает к нему доступ блин...
как его сбить с толку?




Ранг: 251.8 (наставник), 17thx
Активность: 0.120
Статус: Участник
Seeker

Создано: 22 марта 2006 17:01
· Личное сообщение · #16

nikitosk
Дык тебе же написали -- частями это делать надобно...

-----
DREAMS CALL US




Ранг: 43.0 (посетитель)
Активность: 0.030
Статус: Участник

Создано: 22 марта 2006 17:22
· Личное сообщение · #17

дык тут хоть частями хоть не частями он даже к файлу с затычкой (jmp $0) доступа не дает... пройти не может: закрывает доступ...
даже с самой крутой защитой...в конечном итоге файл то все равно в памяти окажется распакованым... он его и поймает...
что делать то ?



Ранг: 74.4 (постоянный)
Активность: 0.050
Статус: Участник

Создано: 22 марта 2006 18:04
· Личное сообщение · #18

nikitosk пишет:
я зашифровал часть секции code exe-шника...(при запуске она расшифровывается)
все равно ловится Mcafee...


Ксор помогает обойти антивирь который сканит не процес а просто файл. В процесе понятно что все раскодировано. Хотя яб на твоем месте раскодировал бы выполнил, потом закодировал. Правда медленнее работать будет. И ксорить не весь код а именно тот который АВ считает бэдовым.

Во вторых найди сигнатуру по которой тебя палит макаффи. И поменяй в этой сигнатре хоть один байт и антивирь обломится. Или поменяй местами 2 команды в хекс редакторе И все будет пучком.



Ранг: 43.0 (посетитель)
Активность: 0.030
Статус: Участник

Создано: 23 марта 2006 13:40 · Поправил: nikitosk
· Личное сообщение · #19

а как найти эту самую сигнатуру ?!
по какому принципу ав выбирает данные для сигнатуры?



Ранг: 60.4 (постоянный)
Активность: 0.030
Статус: Участник

Создано: 23 марта 2006 18:41
· Личное сообщение · #20

nikitosk ну можно методом тыка. Заменяя в своём коде команды, и смотреть, как на это отреагирует ав



Ранг: 45.5 (посетитель)
Активность: 0.050
Статус: Участник

Создано: 23 марта 2006 18:50
· Личное сообщение · #21

nikitosk
Вроде, в какои то журнале, вроде Хакер, была по этому поводу. Но точно в Хакере была статья по скрытию трояна от ав



Ранг: 60.4 (постоянный)
Активность: 0.030
Статус: Участник

Создано: 24 марта 2006 16:21
· Личное сообщение · #22

Народ, кому интересна эта тема рекомендую почитать Криса Касперски. В частности "Записки исследователя компьютерных вирусов" (первая и вторая часть).

Можно взять на его FTP:
83.239.33.46:21
Login: cracklab

работает с 15:00 до 5:00 по москве.

ЗЫ. Чел пишет реально путевые вещи



Ранг: 45.5 (посетитель)
Активность: 0.050
Статус: Участник

Создано: 24 марта 2006 16:26
· Личное сообщение · #23

Vedrus
А сколько он весит без файлов, а тоя хочу почитать, а он весит 5метров с совсеми файлами, а они мне не нужны



Ранг: 60.4 (постоянный)
Активность: 0.030
Статус: Участник

Создано: 24 марта 2006 17:25
· Личное сообщение · #24

Так там и есть чисто текст. Там несколько глав лежат в разных архивах. Название архивов начинается с virii



Ранг: 45.5 (посетитель)
Активность: 0.050
Статус: Участник

Создано: 24 марта 2006 17:30
· Личное сообщение · #25

На каком-то сайте было сказано, что в архиве лежат и примеры. Надо будет все-таки скачать



Ранг: 74.4 (постоянный)
Активность: 0.050
Статус: Участник

Создано: 24 марта 2006 20:33
· Личное сообщение · #26

nikitosk пишет:
а как найти эту самую сигнатуру ?!
по какому принципу ав выбирает данные для сигнатуры?


Анализируеш касп и смотриш где он палит твою сигнатуру.
Можеш скинуть мне бинарник, или приатачить сюда я тебе найду твою многострадальную сигнатуру, могу патч написать по ее замене на идентичную но непалевную.



Ранг: 74.4 (постоянный)
Активность: 0.050
Статус: Участник

Создано: 24 марта 2006 20:35
· Личное сообщение · #27

И еще, что конкретно говорит АВП? Называет название виря, или говорит может быть апасный файл?



Ранг: 43.0 (посетитель)
Активность: 0.030
Статус: Участник

Создано: 25 марта 2006 11:53 · Поправил: nikitosk
· Личное сообщение · #28

2 WoLFeR ну конечно, название трояна он говорит , троян известный... A-311 Death.
WoLFeR пишет:
Можеш скинуть мне бинарник, или приатачить сюда я тебе найду твою многострадальную сигнатуру, могу патч написать по ее замене на идентичную но непалевную.

было бы интересно найти общий подход... но все равно спасибо
а вот Johnson Finger пишет:
Не знаю...... Каспера обходил путем подмены сигнатур.... Где-то у меня валялась прога (консоль), которую пихаешь в папку с базами каспера, вместе с файлом, который надо замаскировать..... И эта прога ищет сигнатуры для этого файла, а потом показывает адреса, где все это лежит.... Лезем в ЕХЕ-шник, и меняем.... Правда, прокатывает не всегда..... Но иногда работает.....

найти бы такое



Ранг: 43.0 (посетитель)
Активность: 0.030
Статус: Участник

Создано: 25 марта 2006 14:45
· Личное сообщение · #29

тут вычитал, что помочь может привязка кода к определенному адресу в памяти!
пошел пробовать!



Ранг: 74.4 (постоянный)
Активность: 0.050
Статус: Участник

Создано: 25 марта 2006 14:59
· Личное сообщение · #30

nikitosk пишет:
было бы интересно найти общий подход... но все равно спасибо


Общий подход в изменениии алгоритма троя. Вот тебе общий подход. Хотя сигнатура 13ти байт врятли изменися.



Ранг: 43.0 (посетитель)
Активность: 0.030
Статус: Участник

Создано: 26 марта 2006 20:56 · Поправил: nikitosk
· Личное сообщение · #31

Попробовал спрятать от Доктор-веба... Заксорил часть .CODE .... И все... не видит! А я то думал неплохой антивирус, оказывается ошибался...

и АВП не видит!

только mcAfee работает ка надо....


<< . 1 . 2 .
 eXeL@B —› Программирование —› Как скрыть код от антивируса.
Эта тема закрыта. Ответы больше не принимаются.
   Для печати Для печати