кто подскажет сниферы, проги, и методы распознования "склейки" программ ? подробно и ясно. ооочень буду благодарен. ------------------------------------------------------- заепали вирусы пропихивать. узнавать об этом "после" не хочеться . варианты? -------------------------------- антивирь кричит - не вариант )))
ну просто предназначение проги и так подразумевает в основном трояна. то есть качаю трояна. и в любом случае определит прогу как трояна. но вот как понять не склеен ли этот трой с уже сконфигурированным ехе. как многие делают (плохие личности) - выкладывают на пользование - а сами в билдер вшивают еще и свой ехе. то есть ты полюбому отключаещь антивирусник - зная что качаешь трояна, а запуская еще и чъего то бота запускаешь....
Сервис номер раз - тыц производит проверку и выдаёт подробнейшую информацию о файле. Если файл с чем-то склеен, то это отобразится в отчёте о проверке, а именно - с чем склеен, что именно за трой, и куда идёт его распаковка. Аналог сервиса номер раз - два тыц
Я такие вещи проверяю на виртуальной машине, сначала запускаю програмку Procese Explorer а потом тут прогу в которой сомневаюсь, если программ склеина то Procese Explorer покажет две красные строчки в момент запуска причем, джойнеры распоковывают во временые катологи (как правило) и програма какраз покажет куда распоковались эти проги, т.е. от куда произошел этот запуск, следовательно из той папке и возьмешь тот файл который тебе нужен....
на одном из форумов. (спасибо откликнувшимуся. жаль не помню имени..) мне написали вот этот список: По умолчанию Своя антивирусная лаборатория Пак программ для мини антивирусной лаборатории API Monitor HijackThis 2.0.3 (Beta) MandiantRedCurtain 1.01 OSAM Autorun Manager 5.0 PDF tools pefile PEiD Sandboxie SysAnalyzer далее я его дополнил: Служебными программами от компании Sysinternals: перечислять их не буду... их можно найти на ***/technet.microsoft.com/ru-ru/sysinternals/bb795533.aspx которые кстати не юзал ..что конечно же надо было сделать, ибо весь ответ мог быть именно там... дак вот.... перекачав и перерыв кучу ссылок и сборок с первого списка. я честно ни*уя там ничего не понял за исключением пары программ, по которым кстати мне удалось выявить некоторую активность подопытного трояна. какие ключи в реестре были созданы, какие файлы в папке Windows либо где то еще - появились- и еще там некоторые моменты... но половина програм нивкакую не поддавалсь на поиск в Google - тобишь - русский интерфейс и portable запуск. (что конечно можно было все таки найти, если бы не лопнуло терпение) пришлось юзать на интуицию с английскми интерфесом. еще некоторые на VMware совсем не запустились и в итоге получилось не очень удовлетворительная лаборатория ( что конечно можно было исправить при должных знаниях - но откуда они? как раз их бы найти надо на таких опытах ) дак вот .. может быть.. кто нибудь.. расскажет , если есть время, более подробное юзание прог. даст ссылки с русским интерфейсом, portable.(что немаловажно) чтобы наконец злорадные кидалы которые подсовывают трояны лишились своих админок. как выявить записанные в (криптованном) ехе, ссылки на домены - не имея подключения к интернету тоже бы очень хотелось узнать. потому что кажеться что очень умные трояны могут и не долбиться по сетевым адресам палясь через оутпосты и файрволы - если нет подключения к интернету. а могут и долбиться - только быть свеже написанными и вследствии посылать на*уй все брандмауэры и прочие шведские стенки можно конечно смотреть там перхваты функций API, выявлять где там место в котором происходит обман файрвола - но слова словами - а на деле ниче не получаеться. задайтесь вопросом... какие шаги надо выполнять , в подробностях и нюансах, чтоб адрес отстука узнать и список соданных ключей реестра и выставленные хуки, процесс в который трой внедрился. и там все прочее... иначе заражают и заражают.. даже уличить не получаеться. все просовывают и просовывают под разными предлогами своих зверей, вместо обещанного рабочего трояна .. мол для опыта.. паблик.... но рабочий... спасибо
Только учти, что слить инфу с компа можно и без троянов. И ни один антивирус не отреагирует на обычный бат файлик, который незаметно запустится.