Народ, тут такое дело. Я был в шоке от антивирей.
Короче, дело обстоит так. Я написал прогу которая создаёт картинку в WMF формате в которую внедряет любую прогу. т.е. Если система не пропатченая, то запускается код который находится в WMF файле. Этот код выдирает из этой картинки прикрепленную прогу. Сохраняет её в temp и потом запускает. всё пашет идеально, даже проги через которые смотришь эту картинку после запуска exploit'a не вешаются и не выдают никаких ошибок.
Но облом в том, что антивири DR-WEB палит эти картинки. Я так и не могу допереть как он их палит, т.е. я добавлял перед shell-кодом и после него различный мусор, типа рисование линий. Но антивирь всё равно палит. Как я понял палит он по сигнатуре:
26h //Escape
??
09h //SETABORTPROC
00h
Самое интерестно что если эти данные распологаются в виде параметров какойлибо функции рисования, то антивирь игнорит их. Т.е. получается что антивирь детально разбирает WMf файл? т.е. анализирует все данные и ишет только когда эта сигнатура встречается только как функция а не как парамерт :\
Может ктонить знает как можно спрятать эту сигнатуру чтобы и антивирь не палил и shell код работал?
Если картинку сменить расширение на JPG или на BMP то всё работает нормально, но антивирь всё равно палит. Просто непойму как он может так точно определять наличие этих 4-х байт в нужном месте, если даже расширения не совпадают :\

Всё народ... уже не надо... я нашел как обмануть антивирь без потери работоспособности. А всё из-за того, что Ms плюют на собственне стандарты