Четверг, 17.08.2017, 20:22 Приветствую вас Гость | Группа "Гости" 


[ Новые сообщения · Участники · Правила форума · Поиск · RSS ]
Страница 1 из 11
Модератор форума: Волк-1024, Anton93, xXxSh@dowxXx 
delfcode » Delphi » Вирусология Delphi » Как избавится от сигнатурного детекта?
Как избавится от сигнатурного детекта?
d4rkzyДата: Пятница, 17.04.2015, 08:39 | Сообщение # 1
Постоянный
Зарегистрирован: 15.11.2013
Группа: Пользователи
Сообщений: 135
Статус: Offline
Есть исходник трояна - палицо всем чем можно, удалил пару функций - детект спал, из 22 тепер 12. Находят как "Gen:Variant.Kazy.247008"
Если можно примеры на дельфи или масме, асме - спасибо.
 
Волк-1024Дата: Воскресенье, 19.04.2015, 14:39 | Сообщение # 2
Авторитетный
Зарегистрирован: 24.07.2011
Группа: Модераторы
Сообщений: 467
Статус: Offline
А кто сказал, что это сигнатурный детект? А для того, чтобы убрать сигнатурный детект нужен морфинг кода. Проще говоря нужен криптор или морфер и бесплатно вряд ли кто предоставит их.

Pascal, C\C++, Assembler, Python
 
XSPYДата: Среда, 20.05.2015, 17:56 | Сообщение # 3
Продвинутый
Зарегистрирован: 28.01.2010
Группа: Пользователи
Сообщений: 258
Статус: Offline
не обязательно морфер. достаточно просто переписать или сместить код.

Я не крекер,а программист!
Я не преступник-я свободный человек!
Лучше один раз накодить,чем сто раз качать билды!
 
AndroidДата: Четверг, 29.12.2016, 11:58 | Сообщение # 4
Постоянный
Зарегистрирован: 13.12.2011
Группа: Пользователи
Сообщений: 100
Статус: Offline
план такой:
1. распиливаешь свой файл на кучу копий, но увеличивающихся на один байт: то есть образуется куча файлов, с размером каждый больше предыдущего на один байт, но содержащий начало оригинального файла.
2. натравливаешь АВ - детектирующиеся удаляются, соответственно первый удаленный файл содержит сигнатуру.
3. в HEX редакторе смотришь какие байты по этому адресу записаны
4. Идешь в дизассемблер, находишь там эти байты
5. Разбиваешь найденные инструкции с помощью jmp в другое место где их прописываешь и обратно jmp на то место где была найдена сигнатура
 
delfcode » Delphi » Вирусология Delphi » Как избавится от сигнатурного детекта?
Страница 1 из 11
Поиск:

delfcode.ru © 2008 - 2017 Хостинг от uCoz