Как можно скрыть трой от антивира? Нашел статью, но что-то не работает. Может кто-нибудь попробует: Теперь наши действия будут заключаться во внедрении неизвестных инструкций. А антивирусы не смогут ее эмулировать, так как неизвестная инструкция имеет неизвестную длину, и определить ее границы просто невозможно. Эмулятор просто не будет знать, откуда ему продолжать разбор кода. Внедрять ее можно, куда угодно, где адрес начинается с т очки. Открываем файл в HIEW, находим свободное место, где будут расположены нули. (обычно после секций .text , .data всегда есть свободное место) Выберете подходящий адрес, пусть к примеру это будет 00408150h, сюда и будем направлять новую точку входа. А вот теперь нам потребуется, еще одна очень полезная утилита, по названием PETools. Открываем файл в PETools, и нажимаем Optional Header, здесь нам понадобятся две формы, это Entry Point и Image Base, а нужны они нам для, того, чтобы вычислить, абсолютный адрес старой точки входа, для этого нам нужно сложить Entry Point и Image Base. Например: Entry Point = 0000E017h Image Base = 00400000h Чтобы и сложить, заходим в HIEW, и жмем Alt+, и вводим шестнадцатеричное значения, единственное там используеться сишный префикс 0x. 0x0000E017 + 0x00400000 = 0x0040E017 (0040E017h) Запишите его он нам пригодиться в дальнейшим. Теперь идем обратно в PETools, и нажимаем FLS, FLS - это калькулятор файловых локаций, переходим на Virtual Address, и вбиваем 00408150h, результат должен получиться примерно 00008150, его мы и должны вбить в поле Entry Point, заменив старое. Все шаманство в PETools, пока закончено. Теперь нам надо указать переход на оригинальную точку входа. Заходим в HIEW, нажимаем сначала F8 а потом F5, и мы должны переместиться на 00408150h. Чтобы сделать переход и исполнить его, нам нужно набрать последовательность команд: mov eax, 0040E017h; вот то он нам и понадобился = ))) jmp, eax; тут же ее исполняем Остается лишь добавить любую не известную инструкцию, например prefectch, в итоги код должен принять примерно такой вид: 0000 add [eax],al 0000 add [eax],al 0000 add [eax],al 0000 add [eax],al 0000 add [eax],al 0F18 ??? 00B817E04000 add [eax][00040E017],bh FFE0 jmp eax 0000 add [eax],al 0000 add [eax],al 0000 add [eax],al 0000 add [eax],al 0000 add [eax],al 0000 add [eax],al 0000 add [eax],al 0000 add [eax],al 0000 add [eax],al Теперь, антивирусы не могут эмулировать ее, и не будут знать откуда продолжать разбор кода, так как неизвестная инструкция имеет неизвестную длину.
И это типа статья которую ты написал? Понял что она в чужом разделе лежит. Спрашивайте в другом разделе!!!!
Ну трой от антивиря скрыть не проблема (Достаточно немного заниматься реверсингом, чтобы суметь это сделать)..... Но это ерунда - сейчас занимаемся более крутой вещью - переделываем код троя, чтобы он ЗАПУСКАЛСЯ при проверке антивирем ! ======================================
ну раз ты такой умный, то скажи, как реально можно скрыть трой то антивира. Объясняй как угодно-все равно пойму.
Ты не мучайся, только зря время тратишь - можно всё сделать гораздо проще - запакуй его любым exe-паковщиком (ASPack, ASProtect, Armadillo, и т.п. UPX не прокатит точно) Иногда после запротекчивания антивирь уже не палит трой