|
d4rkzy
|
Дата: Пятница, 17.04.2015, 08:39 | Сообщение # 1
|
Постоянный
Зарегистрирован: 15.11.2013
Группа: Пользователи
Сообщений: 135
Статус: Offline
|
Есть исходник трояна - палицо всем чем можно, удалил пару функций - детект спал, из 22 тепер 12. Находят как "Gen:Variant.Kazy.247008"
Если можно примеры на дельфи или масме, асме - спасибо. |
| |
|
|
|
Волк-1024
|
Дата: Воскресенье, 19.04.2015, 14:39 | Сообщение # 2
|
Авторитетный
Зарегистрирован: 24.07.2011
Группа: Модераторы
Сообщений: 467
Статус: Offline
|
А кто сказал, что это сигнатурный детект? А для того, чтобы убрать сигнатурный детект нужен морфинг кода. Проще говоря нужен криптор или морфер и бесплатно вряд ли кто предоставит их.
Pascal, C\C++, Assembler, Python
|
| |
|
|
|
XSPY
|
Дата: Среда, 20.05.2015, 17:56 | Сообщение # 3
|
Продвинутый
Зарегистрирован: 28.01.2010
Группа: Пользователи
Сообщений: 263
Статус: Offline
|
не обязательно морфер. достаточно просто переписать или сместить код.
Я не крекер,а программист!
Я не преступник-я свободный человек!
Лучше один раз накодить,чем сто раз качать билды!
|
| |
|
|
|
Android
|
Дата: Четверг, 29.12.2016, 11:58 | Сообщение # 4
|
Постоянный
Зарегистрирован: 13.12.2011
Группа: Пользователи
Сообщений: 100
Статус: Offline
|
план такой:
1. распиливаешь свой файл на кучу копий, но увеличивающихся на один байт: то есть образуется куча файлов, с размером каждый больше предыдущего на один байт, но содержащий начало оригинального файла.
2. натравливаешь АВ - детектирующиеся удаляются, соответственно первый удаленный файл содержит сигнатуру.
3. в HEX редакторе смотришь какие байты по этому адресу записаны
4. Идешь в дизассемблер, находишь там эти байты
5. Разбиваешь найденные инструкции с помощью jmp в другое место где их прописываешь и обратно jmp на то место где была найдена сигнатура |
| |
|
|
