NOD32/Троян/Верхний язык

Люди помогите!

как можно обойти НОД32 с его замечательной эверистикой. Привидите примеры для верхних языков, не надо АСМа =)

НОД32 просто шаман какойто как ни крути всё равно распознает! весь сорс код наизнанку выворачиваю и всё равно видит! тихий ужас ....

 

Сорри за оффтоп.

Не мог бы та проверить вот этот файл?

Надеюсь не распознает.

НЕ ЗАПУСКАТЬ.

1174279950__ks24.rar

 

kyloger gu trojan, сразу показал как только кликнул

 

вопщем с НОД32 я схожу помаленку с ума =)

можно сказать что с НОД32 никакие каки не страшны

совершенно непонятно как работает....

КАВ, АФИ, НОРТОНО детский лепет по сравнению с нодом

 

к примеру в коде в процедуре идут два обращения к регистру getkeyvalue и НОД32 орёт, что это вариант вируса, а если одно обращение делаю, то не орёт... и так на множестве участков кода... то есть по сути НОД32 заставляет меня абсолютно переписать код... это же убицца можно. Скажите какие команды НОД не может эмулировать, как можно безболезненно замести следы от НОД32. Дайте конкретику пожалуйста! я вас очень прошу!

 

Подмена вирусной сигнатуры зараженного файла – это худшая из идей, которая только может придти вирусописателю в голову. Уродский, крайне трудоемкий, да к тому же требующий высокой квалификации способ – вот что это такое. Что отличает зараженный файл он незараженного? Сигнатура. Чтобы пройти сквозь все антивирусные заслоны, следует загрузить пациента в HEX-редактор, найти эти байтики и заменить их чем-то другим. Правильно? Нет!

Начнем с того, что сигнатуры прямым текстом нигде не хранятся. Современные антивирусные базы представляют собой весьма навороченные структуры данных, на реконструкцию формата которых легко потратить всю оставшуюся жизнь. При наличии неограниченного свободного времени сигнатуру можно найти и вручную, просто затирая различные байтики в зараженном файле и скармливая его антивирусу, дожидаясь когда это животное перестанет ругаться. Только учтите, что детектирование вируса обычно осуществляется по нескольким независимым сигнатурам, живописно размазанных по всему файлу и, что самое неприятное, варьирующихся от антивируса к антивирусу.



кажится я этим и занимаюсь =)

 

NOD32 говорит, что invalid digital signature! это твоих рук дело?

 

Моих? Нет. Это мой кейлоггер, Panda его в упор не видит.

Как бы обойти этот NOD32?

А сможет ли он проэмулировать мультитредность/фиберность?

Хотя синхронизировать эти треды/фиберы, не так то просто...



На сколько я понимаю, NOD32 не так уж популярен...

 

А имя не показал?

Может хоть имя ему присвоят

 

не тут надо не мудрить, надо пользоваться самораспоковшиками с паролем. есть ли такие которые через командную строку запускают. тогда можно сделать крошечный лоадер и его уже легче модить...

 

блин, заинтриговали вы меня этим нодом

сейчас скачаю - посмотрим что там

 

NOD32 это стоящая вещь, раньше я советовал КАВА, но после как узнал что достаточно менять путь компиляции и заголовок формы, то забил нахх его... и тормозить страшно этот КАВ. В Афи достаточно найти стринги и поманять их и всё ок... а вот НОД32 головная боль... имея сорс код я всё равно ничего не могу сделать =) хахах

 

здесь архив уже готовых АВ http://ftpserver.msn.ee/av/

 

Не знаю, пройдет ли с языками высокого уровня, только в случае кода на асме нод обходится элементарно, как было уже здесь замечено хотя бы с помощью тех же тредов.

Если по поводу языков высокого уровня, - то вот совет, который по крайней мере помогает в работе с VC++ 6.0:

-Ничего не меняешь в коде

-Меняешь Project->Settings-> C/C++-> optimization

т.е. меняешь настройки компиляции проекта И ВСЕ!!!

И не надо так уж превозносить НОД,- это всего лишь следующий шаг в развитии старого подхода к эмуляции кода. Хотя признаюсь, из антивирей он мне больше всего нравится.

 

А сможет ли НОД распаковать последнюю версию WinUpack'a? Оля говорит, что это вообще не PE файл, PE Tools не срабатывают, а PEid вылетает.

Проверь пожалуйста аттач...

1867028744__ks24.rar

 

OlegA11

Только кликнул сразу вылезло "Win32/Spy.KeyLogger.GU trojan"

 

Хм..распаковал.

Надо его мультииредностью обходить, т.е main thred содержит самогенерирующийся мусор, а остальные работают

 

оптимзация не помогает я и так и сяк пробовал, раньше сбивалос добовлением форм а щас видимо сделали "генерик " как др Голова говорит.

я превозношу НОД32 потому что он меня поставил просто в тупик



Олег твой палился и будет палицца, проверено!

здесь подход другой нужен не надо мудрить вашим АСМом СЕХами и прочей ерундой. Как мёртвому припарка

Всё что требуется это популярный пакер с паролем и коммандной строкой + малюсенький верхний файлик который открывает его =)

 

и если помечен этот файлик то не составит труда поменять перекодировать его WinExec, это лучше чем копаца в сокс коде на 300 кб