ANTICHAT.XYZ    VIDEO.ANTICHAT.XYZ    НОВЫЕ СООБЩЕНИЯ    ФОРУМ  
Баннер 1   Баннер 2
Antichat снова доступен.
Форум Antichat (Античат) возвращается и снова открыт для пользователей. Здесь обсуждаются безопасность, программирование, технологии и многое другое. Сообщество снова собирается вместе.
Новый адрес: forum.antichat.xyz
Вернуться   Форум АНТИЧАТ > Оффтоп > Болталка
Перезагрузить страницу Как скрыть трой от анитивира???
   
 
 
Опции темы Поиск в этой теме Опции просмотра
Предыдущая Предыдущее сообщение   Следующее сообщение Следующая

Как скрыть трой от анитивира???
  #1  
Старый 29.04.2005, 15:39
Аватар для Lomik
Lomik
Новичок
Регистрация: 19.04.2005
Сообщений: 0
Провел на форуме:
0

Репутация: 0
По умолчанию Как скрыть трой от анитивира???
Как можно скрыть трой от антивира? Нашел статью, но что-то не работает. Может кто-нибудь попробует:
Теперь наши действия будут заключаться во внедрении неизвестных инструкций. А
антивирусы не смогут ее эмулировать, так как неизвестная инструкция имеет
неизвестную длину, и определить ее границы просто невозможно. Эмулятор просто не
будет знать, откуда ему продолжать разбор кода. Внедрять ее можно, куда угодно,
где адрес начинается с т очки. Открываем файл в HIEW, находим свободное место,
где будут расположены нули. (обычно после секций .text , .data всегда есть
свободное место) Выберете подходящий адрес, пусть к примеру это будет 00408150h,
сюда и будем направлять новую точку входа. А вот теперь нам потребуется, еще одна
очень полезная утилита, по названием PETools. Открываем файл в PETools, и нажимаем
Optional Header, здесь нам понадобятся две формы, это Entry Point и Image Base,
а нужны они нам для, того, чтобы вычислить, абсолютный адрес старой точки входа,
для этого нам нужно сложить Entry Point и Image Base. Например:

Entry Point = 0000E017h
Image Base = 00400000h

Чтобы и сложить, заходим в HIEW, и жмем Alt+, и вводим шестнадцатеричное значения,
единственное там используеться сишный префикс 0x.

0x0000E017 + 0x00400000 = 0x0040E017 (0040E017h)

Запишите его он нам пригодиться в дальнейшим. Теперь идем обратно в PETools, и
нажимаем FLS, FLS - это калькулятор файловых локаций, переходим на Virtual Address,
и вбиваем 00408150h, результат должен получиться примерно 00008150, его мы и
должны вбить в поле Entry Point, заменив старое. Все шаманство в PETools, пока
закончено. Теперь нам надо указать переход на оригинальную точку входа. Заходим в
HIEW, нажимаем сначала F8 а потом F5, и мы должны переместиться на 00408150h.
Чтобы сделать переход и исполнить его, нам нужно набрать последовательность команд:

mov eax, 0040E017h; вот то он нам и понадобился = )))
jmp, eax; тут же ее исполняем

Остается лишь добавить любую не известную инструкцию, например prefectch, в итоги
код должен принять примерно такой вид:

0000 add [eax],al
0000 add [eax],al
0000 add [eax],al
0000 add [eax],al
0000 add [eax],al
0F18 ???
00B817E04000 add [eax][00040E017],bh
FFE0 jmp eax
0000 add [eax],al
0000 add [eax],al
0000 add [eax],al
0000 add [eax],al
0000 add [eax],al
0000 add [eax],al
0000 add [eax],al
0000 add [eax],al
0000 add [eax],al

Теперь, антивирусы не могут эмулировать ее, и не будут знать откуда продолжать
разбор кода, так как неизвестная инструкция имеет неизвестную длину.
 
Ответить с цитированием
 



« Предыдущая тема | Следующая тема »


Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
 


Быстрый переход




ANTICHAT.XYZ