Antichat снова доступен.
Форум Antichat (Античат) возвращается и снова открыт для пользователей.
Здесь обсуждаются безопасность, программирование, технологии и многое другое.
Сообщество снова собирается вместе.
Новый адрес: forum.antichat.xyz
 |
Как скрыть трой от анитивира??? |
29.04.2005, 15:39
|
|
Новичок
Регистрация: 19.04.2005
Сообщений: 0
Провел на форуме:
0
Репутация:
0
|
|
Как скрыть трой от анитивира???
Как можно скрыть трой от антивира? Нашел статью, но что-то не работает. Может кто-нибудь попробует:
Теперь наши действия будут заключаться во внедрении неизвестных инструкций. А
антивирусы не смогут ее эмулировать, так как неизвестная инструкция имеет
неизвестную длину, и определить ее границы просто невозможно. Эмулятор просто не
будет знать, откуда ему продолжать разбор кода. Внедрять ее можно, куда угодно,
где адрес начинается с т очки. Открываем файл в HIEW, находим свободное место,
где будут расположены нули. (обычно после секций .text , .data всегда есть
свободное место) Выберете подходящий адрес, пусть к примеру это будет 00408150h,
сюда и будем направлять новую точку входа. А вот теперь нам потребуется, еще одна
очень полезная утилита, по названием PETools. Открываем файл в PETools, и нажимаем
Optional Header, здесь нам понадобятся две формы, это Entry Point и Image Base,
а нужны они нам для, того, чтобы вычислить, абсолютный адрес старой точки входа,
для этого нам нужно сложить Entry Point и Image Base. Например:
Entry Point = 0000E017h
Image Base = 00400000h
Чтобы и сложить, заходим в HIEW, и жмем Alt+, и вводим шестнадцатеричное значения,
единственное там используеться сишный префикс 0x.
0x0000E017 + 0x00400000 = 0x0040E017 (0040E017h)
Запишите его он нам пригодиться в дальнейшим. Теперь идем обратно в PETools, и
нажимаем FLS, FLS - это калькулятор файловых локаций, переходим на Virtual Address,
и вбиваем 00408150h, результат должен получиться примерно 00008150, его мы и
должны вбить в поле Entry Point, заменив старое. Все шаманство в PETools, пока
закончено. Теперь нам надо указать переход на оригинальную точку входа. Заходим в
HIEW, нажимаем сначала F8 а потом F5, и мы должны переместиться на 00408150h.
Чтобы сделать переход и исполнить его, нам нужно набрать последовательность команд:
mov eax, 0040E017h; вот то он нам и понадобился = )))
jmp, eax; тут же ее исполняем
Остается лишь добавить любую не известную инструкцию, например prefectch, в итоги
код должен принять примерно такой вид:
0000 add [eax],al
0000 add [eax],al
0000 add [eax],al
0000 add [eax],al
0000 add [eax],al
0F18 ???
00B817E04000 add [eax][00040E017],bh
FFE0 jmp eax
0000 add [eax],al
0000 add [eax],al
0000 add [eax],al
0000 add [eax],al
0000 add [eax],al
0000 add [eax],al
0000 add [eax],al
0000 add [eax],al
0000 add [eax],al
Теперь, антивирусы не могут эмулировать ее, и не будут знать откуда продолжать
разбор кода, так как неизвестная инструкция имеет неизвестную длину.
|
|
|
30.04.2005, 05:22
|
|
Постоянный
Регистрация: 13.08.2004
Сообщений: 957
Провел на форуме:
1770063
Репутация:
429
|
|
И это типа статья которую ты написал?
Понял что она в чужом разделе лежит.
Спрашивайте в другом разделе!!!!
|
|
|
|
30.04.2005, 15:29
|
|
Отец порядка
Регистрация: 04.03.2005
Сообщений: 1,007
Провел на форуме:
1204641
Репутация:
412
|
|
Теперь, антивирусы не могут эмулировать ее, и не будут знать откуда продолжать
разбор кода, так как неизвестная инструкция имеет неизвестную длину.
Сам догадался? 
|
|
|
|
02.05.2005, 15:02
|
|
Новичок
Регистрация: 19.04.2005
Сообщений: 0
Провел на форуме:
0
Репутация:
0
|
|
Куда переместили мою тему??
|
|
|
|
02.05.2005, 15:53
|
|
---
Регистрация: 22.11.2004
Сообщений: 391
Провел на форуме:
2438339
Репутация:
218
|
|
Куда переместили мою тему??
Vo Fleym vrode! :-D
__________________
Чем унижаться и просить, лучше спи3дить и молчать! :rolleyes:
|
|
|
|
04.05.2005, 09:36
|
|
Guest
Сообщений: n/a
Провел на форуме:
Репутация:
|
|
Ну трой от антивиря скрыть не проблема (Достаточно немного заниматься реверсингом, чтобы суметь это сделать)..... Но это ерунда - сейчас занимаемся более крутой вещью - переделываем код троя, чтобы он ЗАПУСКАЛСЯ при проверке антивирем !
======================================[quote]Теперь, антивирусы не могут эмулировать ее, и не будут знать откуда продолжать
разбор кода, так как неизвестная инструкция имеет неизвестную длину-----------------Бред, если антивирь не будет знать откуда продолжать
разбор кода, он вернётся к ентри пойнт, а если не найдёт её - скажет, что файл повреждён
|
|
|
|
05.05.2005, 15:33
|
|
Новичок
Регистрация: 19.04.2005
Сообщений: 0
Провел на форуме:
0
Репутация:
0
|
|
ну раз ты такой умный, то скажи, как реально можно скрыть трой то антивира. Объясняй как угодно-все равно пойму.
|
|
|
|
05.05.2005, 16:57
|
|
Guest
Сообщений: n/a
Провел на форуме:
Репутация:
|
|
ну и нафига ты это написал? это можно прочитать на любом сайте вроде cracklab.ru, wasm.ru
|
|
|
|
07.05.2005, 04:20
|
|
Guest
Сообщений: n/a
Провел на форуме:
Репутация:
|
|
Ты не мучайся, только зря время тратишь - можно всё сделать гораздо проще - запакуй его любым exe-паковщиком (ASPack, ASProtect, Armadillo, и т.п. UPX не прокатит точно)
Иногда после запротекчивания антивирь уже не палит трой
|
|
|
|
16.05.2005, 20:44
|
|
наркоман с медалью
Регистрация: 07.05.2005
Сообщений: 3,704
Провел на форуме:
19975136
Репутация:
4536
|
|
Иногда после запротекчивания антивирь уже не палит трой
если аспротект то почти всегда -)
|
|
|
|
|
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
Линейный вид
