| Вопрос: Kaspersky | Добавлено: 30.07.05 04:34 |
Автор вопроса:  Softer | Web-сайт: hware.org.ua | ICQ: 203660381 |
|
Решил тут я над пацаном одним приколотся. Написал на VB6.0 backdoor небольшой, всего-то и умеет: Вывод сообщения в отдельном окне (поверх всех окон), откр/закр CD-ROM, запуск проги и выкл. себя на уд. машине... Но Касперский 5,0 с последними базаи тут-же его ОПРЕДЕЛИЛ!!!
Теперь вопрос: КАК МНЕ ЗАПУТАТЬ ПРОГУ, ЧТОБ КАСПЕР ЕЕ НЕ ОПРЕДЕЛЯЛ??? PS: Определил он ее как модификацию backdoor'a... Зарание спасибо! |
| Ответы | Всего ответов: 36 |
|
Номер ответа: 1 Автор ответа:  sne Разработчик Offline Client ICQ: 233286456 Вопросов: 34 Ответов: 5445 |
Web-сайт: Профиль | | #1 | Добавлено: 30.07.05 11:31 |
| скачай какой-нить криптор или протектор... запакуй ими, авось и не разглядит (взять мона на exetools.com или wasm.ru->нструменты->упаковщики->..) | ||
|
Номер ответа: 2 Автор ответа: DaSharmICQ: 780477 Вопросов: 72 Ответов: 1297 |
Web-сайт: Профиль | | #2 | Добавлено: 30.07.05 11:56 |
|
бесполезно, каспер мониторит оперативку. Убить каспера надо. А вообще: КАК МНЕ ЗАПУТАТЬ ПРОГУ, ЧТОБ КАСПЕР ЕЕ НЕ ОПРЕДЕЛЯЛ???
вопрос очень глуп. Ты думаешь, что в лаборатории касперского сидят такие же "специалисты" как и ты? ха-ха. Они там дело делают. |
||
|
Номер ответа: 3 Автор ответа: MorpheusВопросов: 224 Ответов: 3777 |
Web-сайт: Профиль | | #3 | Добавлено: 30.07.05 16:51 |
| А мож ты копировал куски кода скажем из Императора? и он на них позарился? надо явно код менять-вынеси часть функций и процедур в DLL т лучше в разные. авось поможет, хотя во с оператьивкой косяк | ||
|
Номер ответа: 4 Автор ответа: HACKERРазработчик Offline Client Вопросов: 236 Ответов: 8362 |
Профиль | | #4 | Добавлено: 30.07.05 19:50 |
во во... скорее всего так сказать "не совсем ты" написал того своего бек дора, может ты какие-то библиотечки со старых троев использовал? А вообще этот каспер гнидная штука, ругается на такие мелочи!!! Я бывает что-то пишу на JS, так каспер вообще мне жить не давал! Какую-то строчку встретит в моём скрипте которая похожа на ту что ему в лаболатории того касперского покажут, и орёт на меня, придурок мать его так uninstal ! и всё..  Добавить ко всему этому, то что он такой же тормознутый как и сам касперский (основатель лаболатории) т.к. как сказал DaSharm сканить оперативку, полностью согласен, запускаешь игруху которая требовательна к оперативки, и сколько бы там у тебя её не стояло, хоть 512, хоть ГБ пофиг, тормоза - 100%, загруженность проца - 100%, касперский дурак - 100% ! Давайте его убъём! Я ради такого даже на время удалю мой любимый AVG, поставлю тот касперский, и вообще мля открою лабораторию "AntiKaspersky" ... млин, шутки шутками, а вот провести пару эксперементов с целью выгрузить его из памяти, я с больши жиланием!
|
||
|
Номер ответа: 5 Автор ответа: sneРазработчик Offline Client ICQ: 233286456 Вопросов: 34 Ответов: 5445 |
Web-сайт: Профиль | | #5 | Добавлено: 30.07.05 20:38 |
|
да не будет он оперативку сканить на худой конец Armadillo его и дело с концом для справки: армадилло не распаковывает полностью файл, он его по мере исполнения распаковывает кусочками... так что попробуй-ка!
|
||
|
Номер ответа: 6 Автор ответа: HACKERРазработчик Offline Client Вопросов: 236 Ответов: 8362 |
Профиль | | #6 | Добавлено: 30.07.05 20:44 |
| хм... не слышал, надо попробовать... | ||
|
Номер ответа: 7 Автор ответа: ViktorZ ICQ: 271202919 Вопросов: 56 Ответов: 837 |
Профиль | | #7 | Добавлено: 31.07.05 01:10 |
| Каспер читает заголовки PE. есть утиль который их меняет. толи PEtool называется, не помню точно. | ||
|
Номер ответа: 8 Автор ответа: SofterICQ: 203660381 Вопросов: 29 Ответов: 205 |
Web-сайт: Профиль | | #8 | Добавлено: 31.07.05 04:07 |
|
2Morpheus
2HACKER Я же написал, что САМ написал. Из всех библиотек он использует только Mswinsck.ocx и MSVBVM60.dll! Я и так додумываю перевести ВыньСок на API... |
||
|
Номер ответа: 9 Автор ответа: MorpheusВопросов: 224 Ответов: 3777 |
Web-сайт: Профиль | | #9 | Добавлено: 31.07.05 08:33 |
| Ладно, я просто предположил возможную причину проблемы. WinSUCK переписывать думаю не надо (но если решишь, глянь Тягу от DaSharm для справки). Я могу конечно и ошибаться, и если да, то поправьте меня плиз, но если сделать побольше DLLок, тогда будет сложнее понять чё ж прога собственно делает. из экзешниеа вообще не будет подозрений-просто перечислены имена функций, а в ДЛЛ они будут разгрупированны и это не создаст видимости вроде "раз они (функции) вместе, то это вирус" | ||
|
Номер ответа: 10 Автор ответа: SofterICQ: 203660381 Вопросов: 29 Ответов: 205 |
Web-сайт: Профиль | | #10 | Добавлено: 31.07.05 08:46 |
|
2Morpheus: Попробую...
2sne: Скачал Armadillo 2.52: Программа ARMADILLO вызвала сбой при обращении к странице памяти в модуле ARMADILLO.EXE по адресу 0167:004c1c69. Регистры: EAX=fda40397 CS=0167 EIP=004c1c69 EFLGS=00010397 EBX=00630000 SS=016f ESP=0073f444 EBP=0073fb98 ECX=0073f470 DS=016f ESI=00000000 FS=7b4f EDX=cfdd1ae0 ES=016f EDI=0073fda4 GS=0000 Байты по адресу CS:EIP: eb 33 8b 45 ec 8b 08 8b 11 89 95 b8 f8 ff ff 8b Содержимое стека: 0073fda4 00000000 00630000 c0000005 00000000 bff946f6 00000094 00000004 0000000a 040a08ae 00000001 00204120 00000000 00000000 00000000 00000000 Кстати, у меня 98SE. |
||
|
Номер ответа: 11 Автор ответа: HACKERРазработчик Offline Client Вопросов: 236 Ответов: 8362 |
Профиль | | #11 | Добавлено: 31.07.05 19:24 |
|
хм... я сам троян пишу, советы:
1) Не испольуй виншок, только API! (например тяга). Использую виншок ты добавиш трояну ~ 500 кб... 2) Когда каспер ругается, попробуй что-то изменить в коде, чуть что-то по другому написать, возможно слегка изменить порядок вызова каких то функций, чтоб короче когда всё скомпилируется оно отличалось от того на что ругается каспер И кстати, такой троян который ты делаешь (отк/закр сидюк, запустить прогу итп...) нафиг некому не нужен! Таких даже примеров полно. Если делать, так делать троян, пускай на ВБ (с точки зрения программиста) хороший троян не напишешь, но чтоб хоть тем кому впариш смотря на него не улыбались! А такой как у тебя, на касперский, так фаервол перехватит. Кстати, фаервол 99% перехватит ) я вот для себя определил слейдущие функции:
1) Кража паролей, умеем не много, то что не умеем шлём целым файлом, у себя уже разшифруем
2) Интелекутуальный Кейлогер, лог с игр, вёрда итп... не берём, токо окошки в которые ввели 1-15 символов (лог в файл, потом отправлять умеет) + 3) В стандартных местах автозагрузки его нет, так что если не знать "фишку" искать можно долго... 4) Отправка не уязвима для фаерволов! (FF DaSharm'a не причём, sne кусочек кода подкинул, за что теперь ему торчу пиво )
собственно из основных всё, а так ещё много прелестей...
|
||
|
Номер ответа: 12 Автор ответа: MorpheusВопросов: 224 Ответов: 3777 |
Web-сайт: Профиль | | #12 | Добавлено: 31.07.05 20:04 |
|
2 HACKER:
Да он же просто приколотьсяхочет над другом-этих функций вполне достаточно. |
||
|
Номер ответа: 13 Автор ответа: HACKERРазработчик Offline Client Вопросов: 236 Ответов: 8362 |
Профиль | | #13 | Добавлено: 31.07.05 23:17 |
| Предположим у друга стоит фаер, что дальше? | ||
|
Номер ответа: 14 Автор ответа: MorpheusВопросов: 224 Ответов: 3777 |
Web-сайт: Профиль | | #14 | Добавлено: 31.07.05 23:44 |
|
а это смотря как подсылать трояна... если просто придти и подсунуть, то я бы пришёл, сказал фаеру, чтобы не противился серваку и клиенту... я так дома ZoneAlarm настроил за 2 секунды-пока "друг" попить принесёт время хватит
|
||
|
Номер ответа: 15 Автор ответа: SofterICQ: 203660381 Вопросов: 29 Ответов: 205 |
Web-сайт: Профиль | | #15 | Добавлено: 01.08.05 04:29 |
|
2HACKER. У меня ВыньСок.ОСХ занимает 105 кило. Но все же, как сделать выньсок через АРI, а то я в API-Guide на сильно разобрался...
PS: Как ты сделал свой торян неуявимым перез фаером? РPS: У друга фаера нет. Догадайся с 1 раза: кто ему тачку настраивает?
|
||