FSG

Discussion in 'Реверсинг' started by ZERO-Y, 15 May 2009.

  1. ZERO-Y

    ZERO-Y Elder - Старейшина

    Joined:
    28 Mar 2006
    Messages:
    87
    Likes Received:
    16
    Reputations:
    3
    Привет всем, возник вопрос, я в этой сфере (кодинга) не шарю, но проблема заключается вот в чем : написал программу - палится 3-ма АВ с 20-ти на virusscan.jotti.org проверяю, когда я ее пакую FSG она палится уже 6-ю АВ, чем мне ее запаковать, что бы хотябы сам пакер не палился ? Спасибо !
     
    #1 ZERO-Y, 15 May 2009
    Last edited: 15 May 2009
  2. ph1l1ster

    ph1l1ster Elder - Старейшина

    Joined:
    11 Mar 2008
    Messages:
    413
    Likes Received:
    153
    Reputations:
    19
  3. Lamia

    Lamia Elder - Старейшина

    Joined:
    11 Jul 2007
    Messages:
    193
    Likes Received:
    77
    Reputations:
    -9
    Темидой,либо вмпротектом. :D
     
  4. ZERO-Y

    ZERO-Y Elder - Старейшина

    Joined:
    28 Mar 2006
    Messages:
    87
    Likes Received:
    16
    Reputations:
    3
    UPX тоже палиццо, нужен такой пакер который бы можно было кинуть в ресурсы билдера и потом запустить его автоматом что бы он запаковал файл.
     
  5. ph1l1ster

    ph1l1ster Elder - Старейшина

    Joined:
    11 Mar 2008
    Messages:
    413
    Likes Received:
    153
    Reputations:
    19
    темида многими палится уже

    http://cracklab.ru/download.php?action=list&n=NDA=
     
    #5 ph1l1ster, 15 May 2009
    Last edited: 15 May 2009
  6. ZERO-Y

    ZERO-Y Elder - Старейшина

    Joined:
    28 Mar 2006
    Messages:
    87
    Likes Received:
    16
    Reputations:
    3
    Ну попробовал UPX 3.0.3 палится но уже меньше, 5-ма АВ. А если запаковать UPX а потом FSG или наоборот результат будет лучше? ( скрытия от ав)
     
    #6 ZERO-Y, 15 May 2009
    Last edited: 15 May 2009
  7. Lamia

    Lamia Elder - Старейшина

    Joined:
    11 Jul 2007
    Messages:
    193
    Likes Received:
    77
    Reputations:
    -9
    Млин,я пошутила!
    Если сам написал прогу,то исходники есть и меняй их по своему усмотрению...
    Определи на на какие функции реагируют антевири.Закомментируй,скомпиль,проверь!
    А лучше импортируемые функции вызывай динамически..Либо если во всём этом не понимаеш,то закажи крипт у кого нить,либо используй паплик крипторы,более менее для этого годные.
     
  8. neprovad

    neprovad Elder - Старейшина

    Joined:
    19 Oct 2007
    Messages:
    915
    Likes Received:
    274
    Reputations:
    59
    все верно, сначала надо добиться непалевности без упаковки, а паковать upx, ибо опираться в этом деле надо на "прямой" код,а не упаковщики.
    p.s. надо писать чем палится
     
  9. ZERO-Y

    ZERO-Y Elder - Старейшина

    Joined:
    28 Mar 2006
    Messages:
    87
    Likes Received:
    16
    Reputations:
    3
    Каспером последним (2009 или какой там) - палится, bitdefender'ом палится ( каспером 7-м не палится) AntiVir,SOPHOS - этими палится, немогу добиться непаленности =) может какие-то нюансы кто подскажет? как узнать что именно палится - по куску кода удалять и тестить? и еще если нашел где палится - как обойти, изменив код на другой выполняющий то же самое действие, вот например bitdefender палит когда прога копирует себя в системную папку - попробовать изменить метод копирование? п.с. палит эту строчку -
     
  10. Lamia

    Lamia Elder - Старейшина

    Joined:
    11 Jul 2007
    Messages:
    193
    Likes Received:
    77
    Reputations:
    -9
    Откажись от таблицы импорта.Импортируйте все возможные API функции по их CRC или хэшу.
    Шифруй секцию инициализированных данных,то биш строковые значения.
    При поиске сигнатуры просто комментируй кусками код и проверяй его следом антивирусом.
    Можеш например в уникод перевести эту строчьку,либо выдели память и записывай
    её туда посимвольно.
    В системную папку лучше не копировать.Лучше во временную или какую другую,потом
    оттуда уже можно переместить в другую.
    Не увлекайся записями в реестр.
    В общем вариантов тут масса.
    На ассемблере например в среде фасма,многие извращения можно отдать на выполнения макросам.
    Существует антеэвристика,антиотладка....Обо всём
    об этом не сложно найти материалы.
     
    #10 Lamia, 15 May 2009
    Last edited: 15 May 2009
    1 person likes this.
  11. Lamia

    Lamia Elder - Старейшина

    Joined:
    11 Jul 2007
    Messages:
    193
    Likes Received:
    77
    Reputations:
    -9
    Давай свой бинарь сюда!Или лучше в личьку.
     
    1 person likes this.
  12. ZERO-Y

    ZERO-Y Elder - Старейшина

    Joined:
    28 Mar 2006
    Messages:
    87
    Likes Received:
    16
    Reputations:
    3
    Странно но удалив весь код, удалив все формы и модули - bitdifender палил его =/ оставил только 1 модуль и тот переименовал ( что бы скомпилировать )
     
  13. Hellsp@wn

    Hellsp@wn Elder - Старейшина

    Joined:
    29 Apr 2007
    Messages:
    413
    Likes Received:
    153
    Reputations:
    48
    на дельфи чтоле кодишь? :) там есть такая фигня как DVCLAL и PACKAGEINFO в ресурсах, их лучше затирать.
     
    1 person likes this.
  14. ZERO-Y

    ZERO-Y Elder - Старейшина

    Joined:
    28 Mar 2006
    Messages:
    87
    Likes Received:
    16
    Reputations:
    3
    Не, не на Delphi, на vb пишу, а там чтото подобное есть? В смысли то что затирать надо?
     
  15. Lamia

    Lamia Elder - Старейшина

    Joined:
    11 Jul 2007
    Messages:
    193
    Likes Received:
    77
    Reputations:
    -9
    Короче,после полного уничтожения всех строк из файла,кроме ресурсов,всеравно продолжает палиться,видимо ты использовал какие то паблик исходники,компиленные уже не раз,
    на которые есть устойчивые сигнатуры в вирусных базах.Небольшое криптование,тоже
    результатов не дало.
    Спряч куда подальше и переписывай исходники....
     
    #15 Lamia, 16 May 2009
    Last edited: 16 May 2009
    1 person likes this.
  16. ZERO-Y

    ZERO-Y Elder - Старейшина

    Joined:
    28 Mar 2006
    Messages:
    87
    Likes Received:
    16
    Reputations:
    3
    Спасибо большое! downloader и запись в реестр переписать через API функции поможет?.. ну во всяком случае попробую.
    я весь код перекопировал на другой проект, + начал палится нодом как unknown NewHeur_PE, ресурсов там нету, может еще гдето надо подчищать?
     
  17. ZERO-Y

    ZERO-Y Elder - Старейшина

    Joined:
    28 Mar 2006
    Messages:
    87
    Likes Received:
    16
    Reputations:
    3
    Добавив в Properties - Company Name ( Microsoft) - обошел unknown NewHeur_PE :)
    BitDefender палит из за добавления в реестр, как это обойти ? :(
     
    #17 ZERO-Y, 16 May 2009
    Last edited: 16 May 2009
  18. zeppe1in

    zeppe1in Elder - Старейшина

    Joined:
    12 Jul 2006
    Messages:
    352
    Likes Received:
    66
    Reputations:
    18
    случай из жизни. инжектил длл, если использовать просто CreateProcess, то палился нодом, надругих не проверял. А если использовать CreateProcess CREATE_SUSPENDED, а потом ResumeThread то палица перестал. вроде те же яйца, только в профиль, а палево прошло.
    пс: кстати подсмотрел решение в другой программе которая инжектила длл и не вызывала проблем с антивирусом)
     
    #18 zeppe1in, 16 May 2009
    Last edited: 16 May 2009
    1 person likes this.
  19. ZERO-Y

    ZERO-Y Elder - Старейшина

    Joined:
    28 Mar 2006
    Messages:
    87
    Likes Received:
    16
    Reputations:
    3
    Вроде бы сделал что бы не палилось но! 2 фрагмента так и не могу добавить - отправку на фтп и автозапуск, ну отправку на фтп еще попробую мож чет получится, а вот с автозапуском... перелазил пол инета ненашел кода который бы не палился, уже хотел в ресурсы кинуть run.reg с записью в автозапуск =))). Есть тут VB кодеры? как обойти? ... Спасибо!..
     
  20. Pernat1y

    Pernat1y Elder - Старейшина

    Joined:
    20 Dec 2007
    Messages:
    496
    Likes Received:
    78
    Reputations:
    7
    пробуй юзать менее паливные ключи автозагрузки. те-же activeX, или сервисы