Собственно сабж ) Написал простую стучалку: Код (Text): format PE GUI 4.0 ; ================================================== entry start ; ================================================== include '%include%/win32a.inc' ; ================================================== section '.rsrc' resource data readable directory \ RT_GROUP_ICON, group_icons, \ RT_ICON, icons resource group_icons, \ 1, LANG_NEUTRAL, main_icon resource icons, \ 1, LANG_NEUTRAL, icon_data icon main_icon, icon_data, 'icon_16x16.ico' ; ================================================== section '.data' data readable writeable hInternet dd ? _lpszAgent db 'Mozilla/5.0 (Windows; U; Windows NT 6.1; en-US; rv:1.9.2.16) Gecko/20110319 Firefox/3.6.16', 0 _lpszUrl db 'http://localhost/', 0 _title db 'Good!', 0 _message db 'Good!', 0 ; ================================================== section '.idata' import data readable writeable library \ kernel32, 'kernel32.dll', \ user32, 'user32.dll', \ wininet, 'wininet.dll' import kernel32, \ ExitProcess, 'ExitProcess' import user32, \ LoadIcon, 'LoadIconA', \ MessageBox, 'MessageBoxA' import wininet, \ InternetOpen, 'InternetOpenA', \ InternetOpenUrl, 'InternetOpenUrlA', \ InternetCloseHandle, 'InternetCloseHandle' ; ================================================== section '.code' code readable executable start: invoke LoadIcon, 0, IDI_APPLICATION invoke InternetOpen, _lpszAgent, 0, 0, 0, 0 mov [hInternet], eax invoke InternetOpenUrl, [hInternet], _lpszUrl, 0, 0, 0, 0 invoke InternetCloseHandle, [hInternet] invoke MessageBox, HWND_DESKTOP, _message, _title, MB_OK invoke ExitProcess, 0 Если _lpszUrl db '', 0 - детектов 0, собственно если _lpszUrl db 'http://localhost/', 0 - 1 детект: Vba32 03.04.2011 18:63 get.EXE Trojan.Downloader.gen.h(heur) Пожалуйста подскажите каким образом его победить? P/S Если в коде увидите ошибку, пожалуйста исправьте ) Пробую свои силы в FASM'e третий день )
Ну дык зашифруй строку... И расшифровывай когда она тебе понадобится. Код (Text): invoke InternetOpen, _lpszAgent, 0, 0, 0, 0 test eax,eax jz @F mov [hInternet], eax ... @@:
Код (Text): Ну дык зашифруй строку... И расшифровывай когда она тебе понадобится. пробовал, в любом случае палится я думаю нужно как-то скрыть, зашифровать InternetOpenUrl, 'InternetOpenUrlA', \ если шифровать _lpszUrl db 'http://localhost/', 0 в любом случае он как-то понимает что функция InternetOpenUrl получает какието данные
я пробовал шифровать секцию .data таким образм, шифрует... но детект етим злым ав оставался: Код (Text): ;------------------------------------------------------------------------------- format PE GUI 4.0 entry start ;------------------------------------------------------------------------------- include 'win32ax.inc' ;------------------------------------------------------------------------------- macro encrypt dstart, dsize { local ..char,..key,..shift ..key = 0FFh repeat dsize load ..char from dstart+%-1 ..char = ..char xor ..key store ..char at dstart+%-1 ..shift = ..char and 02h ..key = ((..key shr ..shift) and 0FFh) + ((..key shl (08-..shift)) and 0FFh) ..key = ..key xor 1Eh ..shift = (..char shr 5) and 02h ..key = ((..key shr ..shift) and 0FFh) + ((..key shl (08-..shift)) and 0FFh) ..key = (..key + ..char) and 0FFh end repeat } ;------------------------------------------------------------------------------- _CRYPTDATA_ = 1 ;------------------------------------------------------------------------------- section '.code' code readable writeable executable start: if _CRYPTDATA_ mov esi,datastart xor eax,eax mov ebx,datasize or edx,-1 .dchar: mov al,[esi] xor [esi],dl mov cl,al and cl,02h ror dl,cl xor dl,1Eh mov cl,al shr cl,05h and cl,02h ror dl,cl add dl,al inc esi sub ebx,1 ja .dchar end if invoke MessageBox, 0, my,my,0 invoke ExitProcess, 0 ;------------------------------------------------------------------------------- section '.data' data readable writeable my db "Find me if i'm crypted:)",0 if _CRYPTDATA_ datastart = my datasize = $ - datastart encrypt datastart, datasize end if ;------------------------------------------------------------------------------- section '.idata' import data readable library kernel32,'KERNEL32.DLL',\ user32,'USER32.DLL' include 'api\kernel32.inc' include 'api\user32.inc'
не знаю) видимо потмоу что строка не зашфованна ) не совсем понял как это работает мог бы написать поподробней, на примере моего кода... был бы очень признателен
P/S я последнии 4 года веб языки изучал, и писал на них, узнал что такое fasm ) и влюбился ) криптор на javascript написать за 10 минут можно, а вот в фасме, примерный принцип работы понимаю, но недастаточность знаний, переменных ) блин...
чет порылся на форуме, не могу найти как зашифровать строку... может у кого есть время и желание помочь, на wm кстати есть баков 10
Строки шифруй тем же XOR'ом + динамический импорт. Можешь разбавить код какими-нибудь стандартными API'шками.
