К стате насщёт авиры, я чо только не делал, орёт падла на большой кусок данных в файле, куда я его только не засовывал, в секцию .code, .data пробовал как оверлей, не фига. Разве что в ресурсы не пробовал, но в ресурсы невариант. К стате даже с маленькой энтропией орёт. Может кто подскажет как одалеть?
2FED похоже что вы пишете криптор, здесь таким не помогают. p.s. авира палит по многим критериям, думайте
так как проверок куча, поэтому в оверлей тоже вариант, найти только главные флаги детекта и убрать их
expert Не криптор, дропер. В разных вариациях палит как XPACK ZPACK Zhelatin все поля в PE заголовке корректные, блок данных шифрованый, к стате разбивка мало чего даёт
XPack - PE Header ZPack - Импорт, пропорции секций. PE Header. энтропия. Zhelatin - скорее всего из за конкретной(ых) апи в импорте.
на самом деле, так более извращенное детектирование, тот же XPack может подходить под описание ZPack и наоборот. Для каждого свои флаги
да. для xpack и zpack различия довольно размытые. основная причина - это то, что указал Sunzer. добавлю еще: zpack - высокая энтропия вначале от entry point. xpack - много нулей в какой-либо секции или пустая.
А какая инфа нужна? То что миллион раз писали про то, что ав не эмулируют большинство API, не различают сегменты, cpl и т.д.? Это уже везде написано, обсуждать тут нечего.
каждый раз может проскочить другая (ценная) инфа, а вот от подобных твоим сообщений думаю, точно нет толка.
как вариант, можно "дропируемый" pe превратить в base64 и либо в секцию данных, либо в ресурсы. далее CryptStringToBinary и авира отдыхает. если смущает размер дропера, upx в помощь.
эту функцию можно и самому реализовать. если память не изменяет, где-то на васме видел готовую реализацию.
..мм а что такое сигнатюры? :] я что-то не понял, что кампиляторы сами ставят подпись чтобы их потом антивирус распозновал? это ж тупо! либо я не знаю что такое сигнатуры. ru.wikipedia.org/wiki/Сигнатура_файла
Почему же самоубийство? Хочется чтобы все знали чем упаковано. Это пакер, а не протектор, распаковать можно на раз. А если уж припрёт, то можно эти строчки и убрать. Либо достать приват версию (такие, наверно, есть). Насчёт сигнатур. Компилятор сам не ставит их намеренно (линкер от МС пихает что-то, но остальные вроде нет). Сигнатура, это что-то вроде отпечатка пальцев. Кто код трогал - того и отпечатки. И вообще, сигнатура - это повторяющаяся часть кода, которая есть почти в каждом приложении конкретной версии компилятора. В С/C++ и подобных им языках это стартап код.
