Как скрыть трой от анитивира???
 

Как можно скрыть трой от антивира? Нашел статью, но что-то не работает. Может кто-нибудь попробует:
Теперь наши действия будут заключаться во внедрении неизвестных инструкций. А
антивирусы не смогут ее эмулировать, так как неизвестная инструкция имеет
неизвестную длину, и определить ее границы просто невозможно. Эмулятор просто не
будет знать, откуда ему продолжать разбор кода. Внедрять ее можно, куда угодно,
где адрес начинается с т очки. Открываем файл в HIEW, находим свободное место,
где будут расположены нули. (обычно после секций .text , .data всегда есть
свободное место) Выберете подходящий адрес, пусть к примеру это будет 00408150h,
сюда и будем направлять новую точку входа. А вот теперь нам потребуется, еще одна
очень полезная утилита, по названием PETools. Открываем файл в PETools, и нажимаем
Optional Header, здесь нам понадобятся две формы, это Entry Point и Image Base,
а нужны они нам для, того, чтобы вычислить, абсолютный адрес старой точки входа,
для этого нам нужно сложить Entry Point и Image Base. Например:

Entry Point = 0000E017h
Image Base = 00400000h

Чтобы и сложить, заходим в HIEW, и жмем Alt+, и вводим шестнадцатеричное значения,
единственное там используеться сишный префикс 0x.

0x0000E017 + 0x00400000 = 0x0040E017 (0040E017h)

Запишите его он нам пригодиться в дальнейшим. Теперь идем обратно в PETools, и
нажимаем FLS, FLS - это калькулятор файловых локаций, переходим на Virtual Address,
и вбиваем 00408150h, результат должен получиться примерно 00008150, его мы и
должны вбить в поле Entry Point, заменив старое. Все шаманство в PETools, пока
закончено. Теперь нам надо указать переход на оригинальную точку входа. Заходим в
HIEW, нажимаем сначала F8 а потом F5, и мы должны переместиться на 00408150h.
Чтобы сделать переход и исполнить его, нам нужно набрать последовательность команд:

mov eax, 0040E017h; вот то он нам и понадобился = )))
jmp, eax; тут же ее исполняем

Остается лишь добавить любую не известную инструкцию, например prefectch, в итоги
код должен принять примерно такой вид:

0000 add [eax],al
0000 add [eax],al
0000 add [eax],al
0000 add [eax],al
0000 add [eax],al
0F18 ???
00B817E04000 add [eax][00040E017],bh
FFE0 jmp eax
0000 add [eax],al
0000 add [eax],al
0000 add [eax],al
0000 add [eax],al
0000 add [eax],al
0000 add [eax],al
0000 add [eax],al
0000 add [eax],al
0000 add [eax],al

Теперь, антивирусы не могут эмулировать ее, и не будут знать откуда продолжать
разбор кода, так как неизвестная инструкция имеет неизвестную длину.

И это типа статья которую ты написал?
Понял что она в чужом разделе лежит.
Спрашивайте в другом разделе!!!!

Сам догадался?:)

Куда переместили мою тему??

Vo Fleym vrode! :-D

Ну трой от антивиря скрыть не проблема (Достаточно немного заниматься реверсингом, чтобы суметь это сделать)..... Но это ерунда - сейчас занимаемся более крутой вещью - переделываем код троя, чтобы он ЗАПУСКАЛСЯ при проверке антивирем !
======================================[quote]Теперь, антивирусы не могут эмулировать ее, и не будут знать откуда продолжать
разбор кода, так как неизвестная инструкция имеет неизвестную длину-----------------Бред, если антивирь не будет знать откуда продолжать
разбор кода, он вернётся к ентри пойнт, а если не найдёт её - скажет, что файл повреждён

ну раз ты такой умный, то скажи, как реально можно скрыть трой то антивира. Объясняй как угодно-все равно пойму.

ну и нафига ты это написал? это можно прочитать на любом сайте вроде cracklab.ru, wasm.ru

Ты не мучайся, только зря время тратишь - можно всё сделать гораздо проще - запакуй его любым exe-паковщиком (ASPack, ASProtect, Armadillo, и т.п. UPX не прокатит точно)
Иногда после запротекчивания антивирь уже не палит трой

если аспротект то почти всегда -)