FSG
 

Привет всем, возник вопрос, я в этой сфере (кодинга) не шарю, но проблема заключается вот в чем : написал программу - палится 3-ма АВ с 20-ти на virusscan.jotti.org проверяю, когда я ее пакую FSG она палится уже 6-ю АВ, чем мне ее запаковать, что бы хотябы сам пакер не палился ? Спасибо !

UPX

Темидой,либо вмпротектом. :D

UPX тоже палиццо, нужен такой пакер который бы можно было кинуть в ресурсы билдера и потом запустить его автоматом что бы он запаковал файл.

темида многими палится уже

http://cracklab.ru/download.php?action=list&n=NDA=

Ну попробовал UPX 3.0.3 палится но уже меньше, 5-ма АВ. А если запаковать UPX а потом FSG или наоборот результат будет лучше? ( скрытия от ав)

Млин,я пошутила!
Если сам написал прогу,то исходники есть и меняй их по своему усмотрению...
Определи на на какие функции реагируют антевири.Закомментируй,ско мпиль,проверь!
А лучше импортируемые функции вызывай динамически..Либо если во всём этом не понимаеш,то закажи крипт у кого нить,либо используй паплик крипторы,более менее для этого годные.

все верно, сначала надо добиться непалевности без упаковки, а паковать upx, ибо опираться в этом деле надо на "прямой" код,а не упаковщики.
p.s. надо писать чем палится

Каспером последним (2009 или какой там) - палится, bitdefender'ом палится ( каспером 7-м не палится) AntiVir,SOPHOS - этими палится, немогу добиться непаленности =) может какие-то нюансы кто подскажет? как узнать что именно палится - по куску кода удалять и тестить? и еще если нашел где палится - как обойти, изменив код на другой выполняющий то же самое действие, вот например bitdefender палит когда прога копирует себя в системную папку - попробовать изменить метод копирование? п.с. палит эту строчку -

Откажись от таблицы импорта.Импортируйте все возможные API функции по их CRC или хэшу.
Шифруй секцию инициализированных данных,то биш строковые значения.
При поиске сигнатуры просто комментируй кусками код и проверяй его следом антивирусом.
Можеш например в уникод перевести эту строчьку,либо выдели память и записывай
её туда посимвольно.
В системную папку лучше не копировать.Лучше во временную или какую другую,потом
оттуда уже можно переместить в другую.
Не увлекайся записями в реестр.
В общем вариантов тут масса.
На ассемблере например в среде фасма,многие извращения можно отдать на выполнения макросам.
Существует антеэвристика,антиотладка. ...Обо всём
об этом не сложно найти материалы.

Давай свой бинарь сюда!Или лучше в личьку.

Странно но удалив весь код, удалив все формы и модули - bitdifender палил его =/ оставил только 1 модуль и тот переименовал ( что бы скомпилировать )

на дельфи чтоле кодишь? :) там есть такая фигня как DVCLAL и PACKAGEINFO в ресурсах, их лучше затирать.

Не, не на Delphi, на vb пишу, а там чтото подобное есть? В смысли то что затирать надо?

Короче,после полного уничтожения всех строк из файла,кроме ресурсов,всеравно продолжает палиться,видимо ты использовал какие то паблик исходники,компиленные уже не раз,
на которые есть устойчивые сигнатуры в вирусных базах.Небольшое криптование,тоже
результатов не дало.
Спряч куда подальше и переписывай исходники....

Спасибо большое! downloader и запись в реестр переписать через API функции поможет?.. ну во всяком случае попробую.
я весь код перекопировал на другой проект, + начал палится нодом как unknown NewHeur_PE, ресурсов там нету, может еще гдето надо подчищать?

Добавив в Properties - Company Name ( Microsoft) - обошел unknown NewHeur_PE :)
BitDefender палит из за добавления в реестр, как это обойти ? :(

случай из жизни. инжектил длл, если использовать просто CreateProcess, то палился нодом, надругих не проверял. А если использовать CreateProcess CREATE_SUSPENDED, а потом ResumeThread то палица перестал. вроде те же яйца, только в профиль, а палево прошло.
пс: кстати подсмотрел решение в другой программе которая инжектила длл и не вызывала проблем с антивирусом)

Вроде бы сделал что бы не палилось но! 2 фрагмента так и не могу добавить - отправку на фтп и автозапуск, ну отправку на фтп еще попробую мож чет получится, а вот с автозапуском... перелазил пол инета ненашел кода который бы не палился, уже хотел в ресурсы кинуть run.reg с записью в автозапуск =))). Есть тут VB кодеры? как обойти? ... Спасибо!..

пробуй юзать менее паливные ключи автозагрузки. те-же activeX, или сервисы

подробней можно? если бы еще ссылочки или примерчик вообще за*бца было бы )

качай Autoruns, и смотри, что можно непаливно юзать
http://technet.microsoft.com/en-us/sysinternals/bb963902.aspx

Я уже перелазил много форумов, попрбовал много разных способов.. очень много, и сделал вывод что палиться не сам код, а добавление проги в автозапуск. как можно сделать это по другом? добавить ее в автозапуск. может сделать что бы создавала файл autorun.reg а потом запускала его с ключом (regedit /s) ?

еще можно через reg add /?
там файлик не надо будет создавать )

во блин... ну я уже в шоке.. сделал через reg add - палится.. ппц.. и палится точно так же как и какой бы я код не ставил.
AntiVir 2009-05-20 HEUR/Malware
BitDefender 2009-05-20 Generic.Malware.SL!!.F31CFBA4

ZERO-Y скинь файлик в лс,посмотрю что можно сделать :)

А толку? мне нужно как-то приделать автозагрузку что бы не палилась, что бы я не делал - палится, ща у меня исходники без автозагрузки. сделать автозагрузку что бы палилось и скинуть те ? или без нее(но смысл) ?

Автозагрузку все антивирусы защищают...лучше её вообще не юзать.Скинь файл без автозагрузки,попробую скрыть от антивирусов)

он без автозагрузки и так не палится =) проблема в автозагрузке.. а вот если не юзать автозапуск программ то как тогда ? перезагрузила жертва комп и ... заново запускать ? =) чет я не догнал..

ZERO-Y, дак а ключ то если другой заюзать всё равно палица?
как Pernat1y писал там же всяких вариантов есть где прописаца.

Или подмени уже какой нить действующий ключ на свой.И уже при загрузке из своей
программы грузи тот файл,ключ которого ты подменил.Можеш не ехе,а длл файл сделать,а дллку прописать к чему нить...либо подменить опять же своим файлом другой файл для которого уже есть ключ автозагрузки,а тот файл переименовать и грузить уже из своей проги.Да альтернативные пути существуют,как было сказано выше.

замена системных файлов - тоже паливо, а чего-то постороннего - потеря совместимости

добавить к explorer.exe в таблицу импорта свою dll, вдруг прокатит

Все разобрался, всем спасибо, отдельное спасибо spider-intruder, за помощь! =) дело было не в коде проги, а в евристике, изменил саму строку добавления в реестр и заработало =)

выполнил сию комманду, служба зарегистрировалась, проактивка каспера промолчала.
что за нафиг? зиродэй? )

в смысле сам из под cmd или твоя программа?

и из-под cmd, и программой (тупо через WinExec)
прогу, кстати каспер отнес к группе со слабыми ограничениями

[SC] CreateService FAILED 1073: - что это значит :) ?

Неудача при создании сервиса. Код ошибки ищи на сайте мелкософта.

Код ошибки: 1073 (0x0431)

Указанная служба уже существует.

а если через http://virusscan.jotti.org/ проверять, файлы в базы АВ не попадают? не отправляються случайно файлы в АВ ?
подскажите еще сервис проверки что бы не отправлял файлы в АВ. Спасибо!

Мде.. Сделал что бы не палился, немного подредактировал его(иконка, свойства) и начал палится думаю из за чего палится - оказалось из за иконки.. :)