Как спрятать троян от антивируса ?
Пользователи, просматривающие топик: none
|
Зашли как: Guest
|
Имя  |
| Сообщение |
<< Старые топики Новые топики >> |
|
|
Как спрятать троян от антивируса ? - 2009-08-16 21:56:43.690000
|
|
|
xneo7
Сообщений: 6
Оценки: 0
Присоединился: 2007-09-05 14:27:28.630000
|
Здраствуйте.
Следующая ситуация. Троян при запуске должен копировать себя в папку винды. Если скопированный файл идентичен запущеному то AVP (V8) при проверке файла считает его трояном и орёт. Насколько я понял антивирь анализирует действия ЕХЕ-шника (возможно эмулирует както его запуск в момент проверки). Если при копировании результирующий файл немного изменяется (именно сегмент исполняемого кода) то AVP молчит. Но вариант не подходит так как нужен минимальный размер - использую UPX и в сжатом файле ничего уже изменить не могу.
Попробовал добавить шифрование. Процедура которая используется для копирования себя в папку винды зашифрованная. Дешифруется в момент исполнения… всёравно видит :@ Если сделать чтото вроде:
If sin(2)=2 then
Begin
DecodeBlock(ProcAAA);
ProcAAA;
End;
… молчит. Оно и понятно, кусок никогда исполнятся не будет :)
Ну и в этом духе… что только не делал при обычной проверке файла всегда точно определяет копирует прога себя в винду (троян) или нет.
Может есть опыт, идеи как всёже его(антивирь) обмануть ? :)
|
|
|
|
|
RE: Как спрятать троян от антивируса ? - 2009-08-16 22:11:30.970000
|
|
|
VaZoNeZ
Сообщений: -6758
Оценки: 0
Присоединился: 2008-10-31 14:38:43.796666
|
quote:
немного изменяется
тоесть немного? 1 байт?
|
|
|
|
|
RE: Как спрятать троян от антивируса ? - 2009-08-16 22:19:54.550000
|
|
|
xneo7
Сообщений: 6
Оценки: 0
Присоединился: 2007-09-05 14:27:28.630000
|
Звучит странно но именно так.
Ставлю в коде метку(метки) и при копировании самого себя по меткам меняю пару байт. АВП молчит. Но мне критично важен размер а после использования компрессора метки есстественно сжимаются.
|
|
|
|
|
RE: Как спрятать троян от антивируса ? - 2009-08-16 22:41:42.370000
|
|
|
VaZoNeZ
Сообщений: -6758
Оценки: 0
Присоединился: 2008-10-31 14:38:43.796666
|
Открой в оле сжатый файл, добавь пару команд и jmp'ов - а потом в самой программе их меняй.
|
|
|
|
|
RE: Как спрятать троян от антивируса ? - 2009-08-16 22:49:01.450000
|
|
|
xneo7
Сообщений: 6
Оценки: 0
Присоединился: 2007-09-05 14:27:28.630000
|
Как же я их добавлю если файл сжат UPX ?
Может кто посоветует какой криптер с учётом чтобы закриптованный файл не вырастал в размере в 3 раза ? Может поможет…
|
|
|
|
|
RE: Как спрятать троян от антивируса ? - 2009-08-16 23:02:34.653333
|
|
|
VaZoNeZ
Сообщений: -6758
Оценки: 0
Присоединился: 2008-10-31 14:38:43.796666
|
quote:
Как же я их добавлю если файл сжат UPX ?
Кхм… Зачит так…..
- открывай Ольгу
- ищи в Ольге недалеко от EP пустое место (90h, 00h)
- в редакторе PE меняй EP на пустой место
- там то и вставляй левый код, который ты будешь менять
- вставляй jmp на старый EP
|
|
|
|
|
|
