Привет всем, возник вопрос, я в этой сфере (кодинга) не шарю, но проблема заключается вот в чем : написал программу - палится 3-ма АВ с 20-ти на virusscan.jotti.org проверяю, когда я ее пакую FSG она палится уже 6-ю АВ, чем мне ее запаковать, что бы хотябы сам пакер не палился ? Спасибо !
UPX тоже палиццо, нужен такой пакер который бы можно было кинуть в ресурсы билдера и потом запустить его автоматом что бы он запаковал файл.
Ну попробовал UPX 3.0.3 палится но уже меньше, 5-ма АВ. А если запаковать UPX а потом FSG или наоборот результат будет лучше? ( скрытия от ав)
Млин,я пошутила! Если сам написал прогу,то исходники есть и меняй их по своему усмотрению... Определи на на какие функции реагируют антевири.Закомментируй,скомпиль,проверь! А лучше импортируемые функции вызывай динамически..Либо если во всём этом не понимаеш,то закажи крипт у кого нить,либо используй паплик крипторы,более менее для этого годные.
все верно, сначала надо добиться непалевности без упаковки, а паковать upx, ибо опираться в этом деле надо на "прямой" код,а не упаковщики. p.s. надо писать чем палится
Каспером последним (2009 или какой там) - палится, bitdefender'ом палится ( каспером 7-м не палится) AntiVir,SOPHOS - этими палится, немогу добиться непаленности =) может какие-то нюансы кто подскажет? как узнать что именно палится - по куску кода удалять и тестить? и еще если нашел где палится - как обойти, изменив код на другой выполняющий то же самое действие, вот например bitdefender палит когда прога копирует себя в системную папку - попробовать изменить метод копирование? п.с. палит эту строчку -
Откажись от таблицы импорта.Импортируйте все возможные API функции по их CRC или хэшу. Шифруй секцию инициализированных данных,то биш строковые значения. При поиске сигнатуры просто комментируй кусками код и проверяй его следом антивирусом. Можеш например в уникод перевести эту строчьку,либо выдели память и записывай её туда посимвольно. В системную папку лучше не копировать.Лучше во временную или какую другую,потом оттуда уже можно переместить в другую. Не увлекайся записями в реестр. В общем вариантов тут масса. На ассемблере например в среде фасма,многие извращения можно отдать на выполнения макросам. Существует антеэвристика,антиотладка....Обо всём об этом не сложно найти материалы.
Странно но удалив весь код, удалив все формы и модули - bitdifender палил его =/ оставил только 1 модуль и тот переименовал ( что бы скомпилировать )
Короче,после полного уничтожения всех строк из файла,кроме ресурсов,всеравно продолжает палиться,видимо ты использовал какие то паблик исходники,компиленные уже не раз, на которые есть устойчивые сигнатуры в вирусных базах.Небольшое криптование,тоже результатов не дало. Спряч куда подальше и переписывай исходники....
Спасибо большое! downloader и запись в реестр переписать через API функции поможет?.. ну во всяком случае попробую. я весь код перекопировал на другой проект, + начал палится нодом как unknown NewHeur_PE, ресурсов там нету, может еще гдето надо подчищать?
Добавив в Properties - Company Name ( Microsoft) - обошел unknown NewHeur_PE BitDefender палит из за добавления в реестр, как это обойти ?
случай из жизни. инжектил длл, если использовать просто CreateProcess, то палился нодом, надругих не проверял. А если использовать CreateProcess CREATE_SUSPENDED, а потом ResumeThread то палица перестал. вроде те же яйца, только в профиль, а палево прошло. пс: кстати подсмотрел решение в другой программе которая инжектила длл и не вызывала проблем с антивирусом)
Вроде бы сделал что бы не палилось но! 2 фрагмента так и не могу добавить - отправку на фтп и автозапуск, ну отправку на фтп еще попробую мож чет получится, а вот с автозапуском... перелазил пол инета ненашел кода который бы не палился, уже хотел в ресурсы кинуть run.reg с записью в автозапуск =))). Есть тут VB кодеры? как обойти? ... Спасибо!..