ايران ويج

سلام عزیزان دلم .من دارم یه کرم کوچولو واسه خودم می نویسم .
چرا وقتی یه فایل exe رو تغیر میدم حالا چه با inject کردن و چه با دست کاری point هاش .اینقدر زود گیر آنتی ویروس میوفته؟.
مخصوصا وقتی نقطه شروع برنامه رو تغیر میدی. یه برنامه ساده مثل ماشین حساب یا notpad کلا چرا بهش گیر میدن .
و چطوری میشه فایل آلوده شده با inject رو از دید Anti مخفی کرد.
البته کار هایی هست که میشه کرد ولی خیلی پردازش می خواد و منابع سیستم طرف رو می خوره . و برنامه لو میره. مثلا اینکه همونجا ویروس بیاد آیکون فایل اجرایی رو برداره به همراه property و همه رو رو خودش بزاره بعد فایل رو تو خودش تو یه oleکپی کنه. وقتی اجرا شد اون فایل رو هم اجرا کنه. البته مثال ole برای vb بود .یا ته فایل خودش. یا تو ریسورس یا هزار کار دیگه.اما می خوام مثل آدم فایل خودم رو inject کنم تو یه فایل دیگه که آنتی نگیرش.
هر مثالی با هر زبونی دارید که بشه فایل آلوده شده رو از چشم آنتی مخفی کرد بگید ممنون.

من می خواستم کد بنویسم و فایل های اجرایی رو آلوده کنم . اما وقتی حتی چند خط رو تغیر میدم این همه گیر میدن آنتی ها . اگر من یه فایل دیگه رو inject کنم تو یه فایل دیگه که عمه منم به این فایل گیر میده که.
به نظر شما چه کنم.؟
راستی من چیزی در مورد آلوده کردن کامپیوتر های تو شبکه نمی دونم . اگر کسی چیزی می دونه یه راهنمایی کنه ممنون.البته همه سیستم های این شبکه ویندوز نیست . جالب اینکه این شبکه وقتی یکی از nod هاش از کار میوفته تمام nod هایی که بعد از اون قرار دارن از اینترنت و کل شبکه محروم میشن. یعنی اگر بخوام ویروسی بنویسم باید هم تو ویندوز و هم تو مک و هم لینوکس کار کنه. حداقل یه هیدر داشته باشه که قبل از نفوذ تو سیستم بعدی سیستم عامل رو بفهمه و نوع فایل اجرایی اون سیستم رو توش اجرا کنه .

نمی خوام تو مک و لینوکس کل ویروس اجرا بشه فقط کافیه اون هیدر اجرا بشه تا به سیستم عامل ویندوز برسه و کل ویروس تو ویندوز ها اجرا بشه.
خلاصه هر کی هر چی بلده بگه من برم ببینم به کجا می رسم.

شما چطور این کارو میکنین؟
من OEP فایلها رو تغییر میدم ولی هیچ انتی گیر نمیده

یا نقطه شروع رو عوض می کنم یا یه جامپ میدم یه جای دیگه کارم که تموم شد برش می گردونم سر جاش. بعضی اوقات گیر نمیده ولی 99 درصد می چسبه به فال هی میگه ویروسه . خلاصه نمی دونم . البته بیشتر گیر ها سر exe های vb هست .

سلام
خوب هستيد
ميشه نمونه شو اپ كني ببنيم چطوري اينكار رو ميكني
من زياد اين كار رو كردم و جواب دادهو هيچ انتي هم بهش گير نداده تا الان ميشه ببينم چيكار كردي
به اميد ديدار

نقل قول: سلام
خوب هستيد
ميشه نمونه شو اپ كني ببنيم چطوري اينكار رو ميكني
من زياد اين كار رو كردم و جواب دادهو هيچ انتي هم بهش گير نداده تا الان ميشه ببينم چيكار كردي
به اميد ديدار

آره حتما یه نمونه کامل درست می کنم اصل فایل و فایل اینجکت شده رو با هم میزارم ببینید.

خوب الان توی این فایل پیوست 3 تا exe هست .
اولیش که فایل دست نخورده هست . اسمش رو گذاشتمorginal.exe.
دومیش اسم oep change.exe هست که نقطه شروع رو تغیر دادم. به این الان آنتی گیر میده.
سومیش اسمش injected with out oep change.exe اینه که نقطه شروع رو تغیر ندادم. ولی چند تا خط رو دست کاری کردم.
به این آنتی گیر نداد. ولی اگر بخوام یه فایل کامل رو اینجکت کنم باید نقطه شروع رو دست کاری کنم . که آنتی گیر میده.

[attachment=5108]

سلام
فايل اصلي چيكار ميكنه ؟
فايل اصلي رو كامپيوتر من اجرا نكرد همچنين فايل اينجك شده ات رو . نميدونم از چه روشي كار كردي ولي نبايد مشكل باشه وگرنه همه پروتكتور ها و كمپروس ها بايد با مشكل روبرو بشن
به اميد ديدار

فایل اصلی و فایلی که نقطه شروعش تغیر کرده کار خواصی نمی کنن. فقط میان یه تابع ShellExecute رو اجرا می کنند بدون پارامتر که باعث میشه explorer باز بشه . فایل اینجکت شده هم اون پارامتر خالی رو بهش آدرس calc.exe رو دادم تا اجراش کنه. و تو یه جا دیگش هم calc.exe رو به عنوان string ازافه کردم همین.

خب پسر خوب به جای اینکه oep رو change کنی خود کد رو آندتکت بنویس !
این دیگه چه کاریه!!!!

نقل قول: خب پسر خوب به جای اینکه oep رو change کنی خود کد رو آندتکت بنویس !
این دیگه چه کاریه!!!!

منظور شما رو نمی فهمم. من oep رو تغییر نمی دم که آندتکت بشه . برای مثال تغیر دادم تا ببینم اگر یه فایل رو بخوام اینجکت کنم تو یه فایل دیگه و مجبور بشم همه چیز رو جا بجا کنم آیا آنتی گیر میده یا نه. فکر کنم آخرش باید با همون ریسورس فایل های سیستم رو آلوده کنم. چون دیگه بیش از اندازه داره وقت می بره منم وقت ندارم.

احتمالا به خاطر کدهایی هست که استفاده کردی شبیه تکنیکی هست که ویروسها استفاده میکنن ممکنه به خاطر همین بهش گیر میده