|
Как избавится от сигнатурного детекта?
|
|
| d4rkzy | Дата: Пятница, 17.04.2015, 08:39 | Сообщение # 1 |
Постоянный
Зарегистрирован: 15.11.2013
Группа: Пользователи
Сообщений: 135
Статус: Offline
| Есть исходник трояна - палицо всем чем можно, удалил пару функций - детект спал, из 22 тепер 12. Находят как "Gen:Variant.Kazy.247008"
Если можно примеры на дельфи или масме, асме - спасибо.
|
| |
| |
| Волк-1024 | Дата: Воскресенье, 19.04.2015, 14:39 | Сообщение # 2 |
Авторитетный
Зарегистрирован: 24.07.2011
Группа: Модераторы
Сообщений: 469
Статус: Offline
| А кто сказал, что это сигнатурный детект? А для того, чтобы убрать сигнатурный детект нужен морфинг кода. Проще говоря нужен криптор или морфер и бесплатно вряд ли кто предоставит их.
Pascal, C\C++, Assembler, Python
|
| |
| |
| XSPY | Дата: Среда, 20.05.2015, 17:56 | Сообщение # 3 |
Продвинутый
Зарегистрирован: 28.01.2010
Группа: Пользователи
Сообщений: 263
Статус: Offline
| не обязательно морфер. достаточно просто переписать или сместить код.
Я не крекер,а программист!
Я не преступник-я свободный человек!
Лучше один раз накодить,чем сто раз качать билды!
|
| |
| |
| Android | Дата: Четверг, 29.12.2016, 11:58 | Сообщение # 4 |
Постоянный
Зарегистрирован: 13.12.2011
Группа: Пользователи
Сообщений: 100
Статус: Offline
| план такой:
1. распиливаешь свой файл на кучу копий, но увеличивающихся на один байт: то есть образуется куча файлов, с размером каждый больше предыдущего на один байт, но содержащий начало оригинального файла.
2. натравливаешь АВ - детектирующиеся удаляются, соответственно первый удаленный файл содержит сигнатуру.
3. в HEX редакторе смотришь какие байты по этому адресу записаны
4. Идешь в дизассемблер, находишь там эти байты
5. Разбиваешь найденные инструкции с помощью jmp в другое место где их прописываешь и обратно jmp на то место где была найдена сигнатура
|
| |
| |
