Форум АНТИЧАТ
Страница 1 из 4 1 2 3 4 >
Показывать 40 сообщений этой темы на одной странице

Форум АНТИЧАТ (https://forum.antichat.xyz/index.php)
-   Реверсинг (https://forum.antichat.xyz/forumdisplay.php?f=94)
-   -   FSG (https://forum.antichat.xyz/showthread.php?t=120748)

ZERO-Y 15.05.2009 17:13
FSG
 
Привет всем, возник вопрос, я в этой сфере (кодинга) не шарю, но проблема заключается вот в чем : написал программу - палится 3-ма АВ с 20-ти на virusscan.jotti.org проверяю, когда я ее пакую FSG она палится уже 6-ю АВ, чем мне ее запаковать, что бы хотябы сам пакер не палился ? Спасибо !

ph1l1ster 15.05.2009 17:28
UPX

Lamia 15.05.2009 17:41
Темидой,либо вмпротектом. :D

ZERO-Y 15.05.2009 17:50
UPX тоже палиццо, нужен такой пакер который бы можно было кинуть в ресурсы билдера и потом запустить его автоматом что бы он запаковал файл.

ph1l1ster 15.05.2009 18:02
Цитата:
Сообщение от Lamia
Темидой,либо вмпротектом. :D
темида многими палится уже

http://cracklab.ru/download.php?action=list&n=NDA=

ZERO-Y 15.05.2009 18:05
Ну попробовал UPX 3.0.3 палится но уже меньше, 5-ма АВ. А если запаковать UPX а потом FSG или наоборот результат будет лучше? ( скрытия от ав)

Lamia 15.05.2009 20:00
Млин,я пошутила!
Если сам написал прогу,то исходники есть и меняй их по своему усмотрению...
Определи на на какие функции реагируют антевири.Закомментируй,ско мпиль,проверь!
А лучше импортируемые функции вызывай динамически..Либо если во всём этом не понимаеш,то закажи крипт у кого нить,либо используй паплик крипторы,более менее для этого годные.

neprovad 15.05.2009 20:52
все верно, сначала надо добиться непалевности без упаковки, а паковать upx, ибо опираться в этом деле надо на "прямой" код,а не упаковщики.
p.s. надо писать чем палится

ZERO-Y 15.05.2009 21:56
Каспером последним (2009 или какой там) - палится, bitdefender'ом палится ( каспером 7-м не палится) AntiVir,SOPHOS - этими палится, немогу добиться непаленности =) может какие-то нюансы кто подскажет? как узнать что именно палится - по куску кода удалять и тестить? и еще если нашел где палится - как обойти, изменив код на другой выполняющий то же самое действие, вот например bitdefender палит когда прога копирует себя в системную папку - попробовать изменить метод копирование? п.с. палит эту строчку -
Цитата:
FileCopy App.Path & "\" & App.EXEName & ".exe", APATH

Lamia 15.05.2009 23:21
Откажись от таблицы импорта.Импортируйте все возможные API функции по их CRC или хэшу.
Шифруй секцию инициализированных данных,то биш строковые значения.
При поиске сигнатуры просто комментируй кусками код и проверяй его следом антивирусом.
Можеш например в уникод перевести эту строчьку,либо выдели память и записывай
её туда посимвольно.
В системную папку лучше не копировать.Лучше во временную или какую другую,потом
оттуда уже можно переместить в другую.
Не увлекайся записями в реестр.
В общем вариантов тут масса.
На ассемблере например в среде фасма,многие извращения можно отдать на выполнения макросам.
Существует антеэвристика,антиотладка. ...Обо всём
об этом не сложно найти материалы.


Время: 02:12
Страница 1 из 4 1 2 3 4 >
Показывать 40 сообщений этой темы на одной странице