Вот такой вот вопрос - есть dll, на которую антивиры дружно реагируют как на вирь. Хотелось бы прекратить сие безобразие.
Раньше не раз встречал dll-файлы, которые защищаются следующим образом: в программе появляется куча левых инструкций, данные туда-сюда перебрасываются, проверяется существование кучи файлов типа "*?%:?*(*?*?%%ОРПАГНП*:?%" и.т.д. Весь этот довесок грамотно и рандомно разбавляет основной код - и вуаля! Некоторое время антивир не видит dll.
А вопрос такой - подскажите как называется подобный метод защиты и с помощью каких программ можно так жестоко поиздеваться над библиотекой.

| Сообщение посчитали полезным:

а длл наверное от алкоголя нового?

| Сообщение посчитали полезным:

mGrey пишет:
антивиры дружно реагируют как на вирь
может это и есть вирь.. твой например

-----
radio uno in ibisa ...

| Сообщение посчитали полезным:

запакуй чем-нибудь может перестанет

| Сообщение посчитали полезным:

Этот метод называется "обфускация кода", а делают это программы-обфускаторы

| Сообщение посчитали полезным:

запакуй его Themida (: думаю вопросов не возникнет. Каким антивирем пользуешься?

-----
Crack your mind, save the planet

| Сообщение посчитали полезным:

Зделай свой маленький криптор.
При инициализации длл раскриптовываеться.
Думаю антивиры не должны реагировать.

| Сообщение посчитали полезным:

Styx пишет:
запакуй его Themida
Не, зачем прот полноценный вешать? Он, как навеска, неслабо увеличит размер длл, проще что полегче - vmprotect, или обфускатор от разработчиков темиды (но он тоже неслабо увеличит размер).

| Сообщение посчитали полезным:

Bit-hack пишет:
проще что полегче - vmprotect
гг, ну а это превратит ДЛЛ в абсолютный тормоз

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным:

В настройках антивира поставь уровинь параноидальности пониже, или отключи его говноэвристику.

| Сообщение посчитали полезным:

WoLFeR )
mGrey Окно выведи с просьбой удалить антивирь.

| Сообщение посчитали полезным:

mGrey
Читай тут www.uinc.ru/articles/48/
www.uinc.ru/articles/45/
www.wasm.ru/article.php?article=av_emul

-----
Nulla aetas ad discendum sera

| Сообщение посчитали полезным:

Спасибо, блин, большое.
Только вопрос - это точно обфускация? Вот ниже пример - это, то чего хотелось бы добиться. Как видите - там идет большое количество вызовов файловых функций (GetFileAttributes, SetFileAttributes, WinExec, etc.) с корявым параметром FileName. Но код-то читаемый. Если можно, поскажите программу-обфускатор попроще (без различных функций протектора, или хотя бы чтобы эти функции были отключаемы).
Самое близкое видел в VMProtect, режим "мутации" - но там после протекта код не читаем. Спасибо

00382B39 CALL sxs.00381000
00382B3E MOV EBP,DWORD PTR DS:[<&KERNEL32.SetFile>; kernel32.SetFileAttributesW
00382B44 XOR EBX,EBX
00382B46 PUSH EBX ; /FileAttributes => 0
00382B47 PUSH sxs.003861F0 ; |FileName = "#%$^UYhGW%$^#^&*"
00382B4C CALL EBP ; \SetFileAttributesW
00382B4E TEST EAX,EAX
00382B50 MOV ESI,DWORD PTR DS:[<&KERNEL32.GetFile>; kernel32.GetFileAttributesW
00382B56 JE SHORT sxs.00382B7E
00382B58 PUSH sxs.003861BC ; /FileName = "#%$^&IuYE%$W$%#WESRDFR#$"
00382B5D CALL ESI ; \GetFileAttributesW
00382B5F PUSH EBX ; /FileAttributes => 0
00382B60 PUSH sxs.00386190 ; |FileName = "#%$RTgH^T&T^%W#$WERDF"
00382B65 CALL EBP ; \SetFileAttributesW
00382B67 TEST EAX,EAX
00382B69 JE SHORT sxs.00382B85
00382B6B PUSH EBX ; /ShowState => SW_HIDE
00382B6C PUSH sxs.00386178 ; |CmdLine = "^%YTHGQ@#$%E^%^R&YHg"
00382B71 CALL DWORD PTR DS:[<&KERNEL32.WinExec>] ; \WinExec
00382B77 PUSH sxs.00386154 ; UNICODE "E$R%YThGBVRW#$%^T"
00382B7C JMP SHORT sxs.00382B83
00382B7E PUSH sxs.00386130 ; UNICODE "#$67uiy#Y$W$%^$%&"
00382B83 CALL ESI
00382B85 PUSH sxs.0038650C ; ASCII "65003"

| Сообщение посчитали полезным:

Это и есть вирь
Запаковывать его бессмысленно - AVP все одно распознает.
Простенький скрембл - побайтовый XOR с постоянным или переменным (растущим в цикле от 00 до FF) аргументом - опять-таки не выход - и AVP, и NOD ругаются.

| Сообщение посчитали полезным:

дык епт чел хочет спрятать паблег троя (сорей всего про рат или типа того) и сорцов у него нет. я знаю но способ не скажу ибо он
а) поленился погуглеть
б) сцуко кандедат в списке (а сталобыть и в профайлз) :\
назавите хоть одну причину помогать жидошляпе без жидо шекеля (да и за сладкие wmz тоже)? :
для тех кто не в курсе крипт того же про рата у жидохэтов от 75$...

| Сообщение посчитали полезным:

Может эта подойдет AvSpoffer прога называется.

| Сообщение посчитали полезным:

Аффтара в бан тему фкарзину !

| Сообщение посчитали полезным:

Red Bar0n пишет:
про рат
Простите за оффтоп, но можно поподробнее про это?

| Сообщение посчитали полезным:

То RAMZEZzz - Pro Rat коммерческая версия одного из паблик троянов со множеством функций удаленного администрирования и кражи паролей.... Относительно недавно стала доступная почти последняя его версия с лицензией....

-----
The blood swap....

| Сообщение посчитали полезным:

Icelot пишет:
может это и есть вирь.. твой например
А я ведь сразу сказал

-----
radio uno in ibisa ...

| Сообщение посчитали полезным:

Icelot пишет:
Icelot пишет:
может это и есть вирь.. твой например
А я ведь сразу сказал

Icelot ты кому сам ,себе чтоли пишешь

-----
Что один человек сделал , другой всегда сломать может...

| Сообщение посчитали полезным:

[offtop]
MACKLIA я просто таким образом указал на своё первое предположение, что чел походу просто хотел узнать, как ему сделать не видимым свой вирь..
[offtop]

-----
radio uno in ibisa ...

| Сообщение посчитали полезным:

Red Bar0n
топикстартер это неудачнеГ, вот сколько таких АналовОбщества расплодилось на васме – УжосНАХ…

плз
закройте тему!

-----
ЗЫ: истЕна где-то рядом, Welcome@Google.com

| Сообщение посчитали полезным:

Demon666
Ранг: 99.9
Специально ранг такой набирал ?

| Сообщение посчитали полезным:

Само хорошо ручками поработать и головой. а так приват крипт + спуфер. хотя навернят ручками.

| Сообщение посчитали полезным:

Флудотопик закрыт

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным: