by
xqwerx from DL
выложено с ращрешения автора
ВВЕДЕНИЕ
Многих интересует вопрос: Как обойти антивирус??? Антивирусы бывают разные...Многие уважают
Nod32 - бесспорно хорошо работает в сфере защиты компьютерной информации! Российские антивирусные продукты оставляют желать лучшего... По статистике у большинства пользователей резидентной защитой компьютера занимается продукция лаборатории "
KASPERSKY".
Данная статья показывает как без шифрования, криптования кода заставить антивирус молчать (речь пойдет только о всеми любимом KASPERSKY AntiVirus).
ТЕОРИЯ
В данный момент времени большое распространение имеет PE - формат исполняемых приложений (
.EXE). Какую структуру имеет приложение? Краткий обзор значимых элементов - Начиная с начала файла идет DOS-программка которая выводит сообщение о том, что этот файл работает только в Win-среде (1-интересное место, моя первая метка; об этом чуть поже);
рис1.1
Далее идет PE-HEADER (PE-заголовок) , который имеет следующую структуру:
PHP код:
Signature_Bytes:dword;
CPU_Tupe:word;
Num_of_Objects:word;
Time_Date_Stamp:dword;
Pointer_to_COFF_Table:dword;
COFF_Table_Size:dword;
NT_Header_Size:word;
Flags:word;
Magic:word;
Link_Major:byte;
Link_Minor:byte;
Size_of_Code:dword;
Size_of_Init_Data:dword;
Size_of_UnInit_Data:dword;
Entry_Point_RVA:dword; <-----------(! Знаменитый EntryPoint )
Base_of_Code:dword;
Base_of_Data:dword;
Image_Base:dword;
Object_Align:dword;
File_Align:dword;
OS_Major:word;
OS_Minor:word;
USER_Major:word;
USER_Minor:word;
Sub_Sys_Major:word;
Sub_Sys_Minor:word;
RESERVED1:dword; <-----------(! зарезервированное место)
Image_Size:dword;
Header_Size:dword;
File_Check_Sum:dword;
Sub_System:word;
DLL_Flags:word;
Stack_Reserve_Size:dword;
Stack_Commit_Size:dword;
Heap_Reserve_Size:dword;
Heap_Commit_Size:dword;
Loader_Flags:dword;
Num_of_RVA_and_Sizes:dword;
Export_Table_RVA:dword;
Export_Data_Size:dword;
Import_Table_RVA:dword;
Import_Date_Size:dword;
Resource_Table_RVA:dword;
Resource_Data_Size:dword;
Exception_Table_RVA:dword;
Exception_Data_Size:dword;
Security_Table_RVA:dword;
Security_Data_Size:dword;
Fix_Up_s_Table_RVA:dword;
Fix_Up_s_Data_Size:dword;
Debug_Table_RVA:dword;
Debug_Data_Size:dword;
Image_Discription_RVA:dword;
Discription_Data_Size:dword;
Mashine_Specific_RVA:dword;
Mashine_Data_Size:dword;
TLS_RVA:dword;
TLS_Data_Size:dword;
Load_Counfig_RVA:dword;
Load_Config_Data_Size:dword;
RESERVED2:dword; <-----------(! зарезервированное место)
RESERVED3:dword; <-----------(! зарезервированное место)
IAT_RVA:dword;
IAT_Data_Size:dword;
RESERVED4:dword; <-----------(! зарезервированное место)
RESERVED5:dword; <-----------(! зарезервированное место)
RESERVED6:dword; <-----------(! зарезервированное место)
RESERVED7:dword; <-----------(! зарезервированное место)
RESERVED8:dword; <-----------(! зарезервированное место)
RESERVED9:dword; <-----------(! зарезервированное место)
рис1.2
Как видите, заголовок имеет много зарезервированных, пустых байтов (2-интересное место, моя вторая метка). Далее в EXE-файле идет описание секций, приводить их не буду... После описаний секций файла, идут сами секции и заполняют оставшееся место файла. Причем можно наблюдать особенность компиляторов - добавлять в конец каждой секции довольно много пустых (нулевых байтов) около 100 (3-интересное место, моя третья метка), да и после описания секций файла места хватает:
рис1.3
1-2-3 интересные метки , были отмечены не зря!!! - сюда можно прописать любой программный код(! посмотрите ещё раз на 1-2-3 метки) Размер кода, который может там уместиться
4-100 байт... Этого вполне хватит, чтобы перед запуском самого файла запускался наш код, а потом сам файл, работоспособность которого сохраняется на все 100%.Многие крипторы работают так: шифруют секции кода или данных (можно все сразу) и пишут код - дешифровщика, который при запуске расшифровывает секции и запускает файл. Можно не только криптовать - легко добавить любой вредоносные код, на сколько хватит фантазии.
AntiKASPERSKY (обход AVP)
Что нам нужно?
1) Считать PE-заголовок из него вытащить EntryPoint.( EntryPoint - это точка входа в программу, т.е. при запуске файла ,он отображается в памяти, после чего процессор начинает выполнять первую инструкцию (код), на которую указывает EntryPoint).
2) Запомнить настоящую точку входа в программу (EntryPoint).
3) Записать свой программный код, который после выполнения должен передать выполнение самому файлу.
4) изменить EntryPoint, который теперь будет указывать на наш код.
Это примерное описание, что необходимо проделать.Сложнова-то если вы не знакомы с программированием..
Поэтому есть два варианта:
-Немного сложный, скачать вот
ЗДЕСЬ - прочитав, сможете сделать все что описано выше В РУЧНУЮ!
-Еще один способ - получить доступ к разделу форума dl халява и скачать следующую прогу...
AntiKaspersky - написан на чистом Asme. Использует методы обхода антивируса описанные в этой статье, но лучше самому научиться это делать в ручную.Получается полиморфно что-то забыл, что-то добавил!!!
рис1.4
P.S. данная статья рассчитана на новичков и людей не связанных с кодингом (программирование), но которые хотя иметь чистые файлы ... Данный метод позволяет обойти
KASPERSKY AntiVirus, на других полное тестирование не проводилось.Данная статья носит ознакомительный характер, главной целью которой является показать уязвимость антивирусных продуктов (в частности
KASPERSKY) и не каким образом не должна быть использована в других целях, противоречащих законам какой либо страны!!!
Anti Kaspersky - обход антивируса
Похожие темы
Линейный вид
