Вот статейка
Как спрятать Троян (точнее EXE-файл который определяется антивирусом) ...
Что для этого нужно:
1) По принципу сам троян (В качестве трояна я взял редактор сервера Троян Lamer's Death который определяется как
------------------------------------------------------------------------------------------
C:\WINDOWS\Рабочий стол\ld27b3\editor.exe Упакован UPX
C:\WINDOWS\Рабочий стол\ld27b3\editor.exe Инфицирован Backdoor.Death.26
------------------------------------------------------------------------------------------
То, что он уже пакованый UPX это нам немешает (хотя, может кто и хочет распаковать тот пусть распаковывает...)
2) Программа под названием topo.exe или topo12.exe
С ее помощью открываем наш зловещий вирус editor.exe
от программы сразу будет предложение создать новую секцию или использовать старую ?
по сути можно выбрать и тот, и другой вариант, но советую использовать старую
так как антивирусы могут использовать название секции в будущем...
ДЛЯ НАГЛЯДНОСТИ ПРИМЕР
В самой программе ставим галочку на слове Redirect Entrypoint
и добавляем 15 байт (Здесь также используется ваша фантазия... можете вписывать туда свою дату рождения...)
БОЛЕЕ ПОДРОБНО
после всего сделаного жмем "Do It!"
теперь мы поменяли начало загрузки трояна и переехал он на новый адрес... 004974F1
теперь проверяем наш троянчик Касперским...
бля орет сволочуга
но говорит что наш вирус упакован PE_Patch
--------------------------------------------------------------------------------------------
C:\WINDOWS\Рабочий стол\ld27b3\editor.exe Упакован PE_Patch
C:\WINDOWS\Рабочий стол\ld27b3\editor.exe Упакован UPX
C:\WINDOWS\Рабочий стол\ld27b3\editor.exe Инфицирован Backdoor.Death.26
--------------------------------------------------------------------------------------------
3) Вот теперь мы берем в руки HEX-Editor HIEW.EXE
запускаем HIEW.EXE выбираем из всех файлов наш зловещий editor.exe
жмем последовательно Enter, далее F4, далее F3, далее F8, далее F5
бог ты мой какое чудо мы оказались на адресе 004974F1
и начиная с адреса 004974F1 до адреса 004974FB
мы видим эти вот самые циферки состоящие из 90 (это и есть наши добавленые 15 байт)
.004974F1: 90 nop
.004974F2: 90 nop
.004974F3: 90 nop
.004974F4: 90 nop
.004974F5: 90 nop
.004974F6: 90 nop
.004974F7: 90 nop
.004974F8: 90 nop
.004974F9: 90 nop
.004974FA: 90 nop
.004974FB: E960FEFFFF jmp .000497360 -------- (1)
дело в том что антивирус видит эту часть кода и узнает ее...
далее едет в ход так называемый "МЕТОД ТЫКА"
жму F3 и редактирую эти циферки...
гы... а по простому вставляю мусор
проще говоря замените в некоторых местах значение 90 (вот она хитрость...)
самого програмного кода они все равно невыполняют так что меняйте их как хотите...
004974F1: 90 nop
004974F2: 90 nop
004974F3: 0000 add [eax],al (здесь наклепал нулей)
004974F5: 90 nop
004974F6: 90 nop
004974F7: 91 xchg ecx,eax (здеcь вставил еденицу...)
004974F8: 90 nop
004974F9: 90 nop
004974FA: 90 nop
004974FB: E960FEFFFF jmp .000497360 -------- (1)
после проделоного сохраняем изменения жмем F9
и выходим из программы
проверяем на работоспособность нашь зловещий вирус...
Гы работает и ничего не изменилось открывается и ошибок никаких просто зашибись все...
проверяем его касперским и тот тоже не жалуется говорит что все оки...
---------------------------------------------------------------------------------------------
C:\WINDOWS\Рабочий стол\ld27b3\editor.exe OK
---------------------------------------------------------------------------------------------
Воть
в любом случае можно не зная языка программирования упрятать exe-файл вируса либо троянца...
Похожие темы
Линейный вид
