Авирь против ресурсов

Тема в разделе "LANGS.C", создана пользователем lomerok, 14 апр 2011.

  1. lomerok

    lomerok New Member

    Публикаций:
    0
    Регистрация:
    10 июл 2008
    Сообщения:
    60
    имеется вот такой код который создаёт в любой екзешке 2 ресурса , первый это файл екзе,второй это строка
    и авирь ругается на такой файл в последующем , в котором эти два ресурса будут находиться , ктото знает почему и
    может пробовал обойти?
    Код (Text):
    1. HANDLE hUpdate;
    2. hUpdate = BeginUpdateResource(EXEFileName, FALSE);
    3. UpdateResource(hUpdate, "11111","one", MAKELANGID(LANG_NEUTRAL, SUBLANG_NEUTRAL), lpFileBuffer,dwFileSize);
    4. UpdateResource(hUpdate, "22222","two", MAKELANGID(LANG_NEUTRAL, SUBLANG_NEUTRAL), "123456789012345", 8);
    5. EndUpdateResource(hUpdate, FALSE);
     
  2. punxer

    punxer Андрей

    Публикаций:
    0
    Регистрация:
    16 окт 2006
    Сообщения:
    1.327
    Адрес:
    Ржев
    Файлы в ресурсах не хранят простые проги.
    Коси под инсталлер или делфи(названиями ресурсов).
    Криптуй Exe. тот что в ресурсах
    да тут мать его такой полет фантазии
    rКомбинация со строкой тут непричем
     
  3. lomerok

    lomerok New Member

    Публикаций:
    0
    Регистрация:
    10 июл 2008
    Сообщения:
    60
    дело в том что я пишу криптор и он хранит в ресурсах стаб екзе и он непалится,а когда я вклеиваю в стаб ресурс в виде екзешки то екзешка палится ,причем обычный месадж бокс и стабов выступает в данной роли тоже месадж бокс
     
  4. Sunzer

    Sunzer Member

    Публикаций:
    0
    Регистрация:
    25 май 2008
    Сообщения:
    256
    Чем палится, как палится? Не удивлюсь если и секция ресуров больше остальных секций по размеру.
     
  5. lomerok

    lomerok New Member

    Публикаций:
    0
    Регистрация:
    10 июл 2008
    Сообщения:
    60
    палится авирой палится как TR/Dropper.Gen

    Код (Text):
    1. Virus:TR/Dropper.Gen
    2.  
    3. Date discovered:19/06/2007
    4. Type:Trojan
    5. Subtype:Dropper
    6. In the wild:Yes
    7. Reported Infections:Low
    8. Distribution Potential:Low
    9. Damage Potential:Low
    10. Static file:No
    11. Engine version: 7.04.00.34
    12.  General Side effects:
    13.     • Drops malicious files
    вот атач http://dl.dropbox.com/u/25466250/test.exe

    и объясните плиз про секции ,что делать если она большая слишком и от чего это происходит
     
  6. Sunzer

    Sunzer Member

    Публикаций:
    0
    Регистрация:
    25 май 2008
    Сообщения:
    256
    Так и знал. Из-за того что секция ресурсов больно большая, относительно других, это минимальный признак.

    От того что записываешь туда файл, она становится больше, не?
     
  7. lomerok

    lomerok New Member

    Публикаций:
    0
    Регистрация:
    10 июл 2008
    Сообщения:
    60
    странная фигня,почему оно от этого его палит , че делать то теперь?
     
  8. punxer

    punxer Андрей

    Публикаций:
    0
    Регистрация:
    16 окт 2006
    Сообщения:
    1.327
    Адрес:
    Ржев
    размер секции ресурсов не учитывается нигде
     
  9. punxer

    punxer Андрей

    Публикаций:
    0
    Регистрация:
    16 окт 2006
    Сообщения:
    1.327
    Адрес:
    Ржев
    ну или имеет очень малое значение
    а вот то что в ресурсах- эт да
     
  10. lomerok

    lomerok New Member

    Публикаций:
    0
    Регистрация:
    10 июл 2008
    Сообщения:
    60
    ну я впринцепе так и думал , так как в другой екзешке уменя вэйв файл размером в три мб а сам екзешник маленький и норм работает не палится,но тут еще и другой прикол , еще в одной екзешке а точнее в самом крипторе , хранится стаб , незашифрованный и на этот ресурс не ругается , а на месадж бокс в стабе ругается когда записываешь его криптором в ресурсы стаба
     
  11. RET

    RET Well-Known Member

    Публикаций:
    17
    Регистрация:
    5 янв 2008
    Сообщения:
    789
    Адрес:
    Jabber: darksys@sj.ms
    Засунуть что либо в exe становиться в последнее время все геморойней и геморойней, АВ вообще уже на все орут. Куда мир катится? ;)