| Вопрос: Kaspersky | Добавлено: 30.07.05 04:34 |
Автор вопроса:  Softer | Web-сайт: hware.org.ua | ICQ: 203660381 |
| Ответы | Всего ответов: 36 |
|
Номер ответа: 16 Автор ответа:  gvozd Разработчик Offline Client Вопросов: 164 Ответов: 1317 
|
Web-сайт: Профиль | | #16 | Добавлено: 01.08.05 08:15 |
|
Я писал трояна, который тырит пассы из ОЕ на VBSocket DaSharm (за что ему большой респект). А вот как обходить фаеры мне тоже интересно.
P.S. Трой Каспером не палится. |
||
|
Номер ответа: 17 Автор ответа: Softer ICQ: 203660381 Вопросов: 29 Ответов: 205 |
Web-сайт: Профиль | | #17 | Добавлено: 01.08.05 08:41 |
|
Да объясните наконец, что там у DaSharma???
PS: А мой - палится!!! |
||
|
Номер ответа: 18 Автор ответа: gvozdРазработчик Offline Client Вопросов: 164 Ответов: 1317
|
Web-сайт: Профиль | | #18 | Добавлено: 01.08.05 08:55 |
|
http://www.localhost.co.nr/
Самая последняя строчка. |
||
|
Номер ответа: 19 Автор ответа: vitoРазработчик Offline Client Вопросов: 23 Ответов: 879 |
Web-сайт: Профиль | | #19 | Добавлено: 02.08.05 08:14 |
Мне кажется ты лукавишь )
Если это твой трой, то он не должен палиться, так как в базе его еще нет. Сдается мне, что ты просто взял исходники и скомпилил
В таком случае паркеры не помогут, да и потом каспер. распаковывает практически все известные. Напиши свой паркер
Или еще проще, если я прав - хоть немного измени трой (измени контрольную сумму файлы, возможно PE заголовок) уже после скомпили, а потом упакуй
Обычная практика
|
||
|
Номер ответа: 20 Автор ответа: SofterICQ: 203660381 Вопросов: 29 Ответов: 205 |
Web-сайт: Профиль | | #20 | Добавлено: 02.08.05 08:26 |
|
2vito:
"Или еще проще, если я прав - хоть немного измени трой (измени контрольную сумму файлы, возможно PE заголовок) уже после скомпили, а потом упакуй "
А поподробнее нельзя? Как, чем... |
||
|
Номер ответа: 21 Автор ответа: SofterICQ: 203660381 Вопросов: 29 Ответов: 205 |
Web-сайт: Профиль | | #21 | Добавлено: 02.08.05 08:31 |
| PS: ПОСЛЕДНИЙ РАЗ ГОВОРЮ! САМ ПИСАЛ!!! СПЕЦИАЛЬНО ДЛЯ ТОГО, ЧТОБ АНТИВИРИ НЕ ЗНАЛИ О НЕМ!!! | ||
|
Номер ответа: 22 Автор ответа: sneРазработчик Offline Client ICQ: 233286456 Вопросов: 34 Ответов: 5445 |
Web-сайт: Профиль | | #22 | Добавлено: 02.08.05 11:10 |
| значит криво писал, пробуй комментировать строки кода, и смотреть палится он или нет, как найдешь в чем фигня, так узнаешь как можно избавиться! | ||
|
Номер ответа: 23 Автор ответа: gvozdРазработчик Offline Client Вопросов: 164 Ответов: 1317
|
Web-сайт: Профиль | | #23 | Добавлено: 02.08.05 11:18 |
| sne, так ведь комментарии не компилируются. | ||
|
Номер ответа: 24 Автор ответа: SharpЛидер форума ICQ: 216865379 Вопросов: 106 Ответов: 9979 |
Web-сайт: Профиль | | #24 | Добавлено: 02.08.05 13:57 |
|
Об этом он и говорит )
|
||
|
Номер ответа: 25 Автор ответа: gvozdРазработчик Offline Client Вопросов: 164 Ответов: 1317
|
Web-сайт: Профиль | | #25 | Добавлено: 02.08.05 14:38 |
| А-а-а, не так понял фразу, сорри. | ||
|
Номер ответа: 26 Автор ответа: sneРазработчик Offline Client ICQ: 233286456 Вопросов: 34 Ответов: 5445 |
Web-сайт: Профиль | | #26 | Добавлено: 02.08.05 17:09 |
|
LOL :D
gvozd, юмористом почище Морфеуса станешь )
|
||
|
Номер ответа: 27 Автор ответа: vitoРазработчик Offline Client Вопросов: 23 Ответов: 879 |
Web-сайт: Профиль | | #27 | Добавлено: 02.08.05 17:50 |
|
Вообще то подобные вещи пртивозаконны и преследуются по УК)
Я предупредил. Изложенное ниже не более чем философские рассуждения к практике не имеющее никаго отношения. В основной масее антивирусы реагурют на контрольную сумму и на информацию из PE. Правда есть исключения - ключ реестра отвечающий за автозапуск. К таким прогам они особенно подозрительны. Насколько я понимаю, данная из этого разряда. Самый простой путь: Измени точку входа в прграмму (entry point). Создай одну (а лучше несколько процедур, вызывающих последовательно друг друга - до настоящей точки входа). Набей их мусором( только не коментариями) и не циклами( упадет быстродействие). Это изменит контрольную сумму и отчасти PE заголовок. Пробуй. Если не помогло, придется ковыряться с PE (нужно изменить таблицы импорта). Здесь уже посложнее. Придется изменить исходник, причем уже достаточно серьезно. Пробуй проще: напиши безобидную прогу и вставь(внедри) код троя(точка входа ясно должна быть не троянской программы, передай управление коду позднее). Пробуй. Сейчас рассмотрены методы без утилит. Чтобы пользоваться редакторами PE заголовков нужно рубить в низкоуровневом программировании. А изучать ассемблер, чтобы пошутить над другом недостаточный мотив
Но тем не менее HView, PeTools (и др.) - наиболее известные. Пробуй. Процесс творческий. Вообще вирмейкерство сложная материя и я не скажу, что VB не подходит для этого. подходит, как и любой другой язык(просто есть для этого более заточенные). Но ассемблер и другие низкоуровневые материи ты знать обязан 
|
||
|
Номер ответа: 28 Автор ответа: HACKERРазработчик Offline Client Вопросов: 236 Ответов: 8362 |
Профиль | | #28 | Добавлено: 02.08.05 22:18 |
|
Хм... а выкладывай где-то твой трой, если он чисто чтоб пошутить то думю без проблем можно всем показать...
ELSE мазы мол не хочеться показывать всем - не твой трой. END IF А мы уже посмотрим и попробуем изменить в лучшую сторону. |
||
|
Номер ответа: 29 Автор ответа: SofterICQ: 203660381 Вопросов: 29 Ответов: 205 |
Web-сайт: Профиль | | #29 | Добавлено: 03.08.05 04:25 |
|
http://softersoft.narod.ru/files/troyanchik.rar
Все! Всем спасибо! Особенно DaSharm'у!!! Трой перестал палится после того, как я убрал ВыньСок и вставил VBSocket1A.ctl !!! При этом в клиенте (часть, которая отдает комманды на уд. машину) остался все тот же ВыньСок. Огромное всем спасибо. Трой можно смотреть. Адресок в начале. Заодно, еси не тяжело, киньте взгляд на сайт. Он появился совсем недавно и еще довольно сырой, но я хочу узнать мнение других о нем. Спасибо еще раз! |
||
|
Номер ответа: 30 Автор ответа: MorpheusВопросов: 224 Ответов: 3777 |
Web-сайт: Профиль | | #30 | Добавлено: 03.08.05 05:30 |
| Нормально, йоку сайт! Здорово! Особнно мне понравились кнопочки, тут вообще классно гормонируют. 3Д велкам ничё, на Харе делал? знаю, тяжело это сделать, но если возможно, всё таки попробуй избавиться от белых точек по краям анимации. а вообще давай, удачи! | ||