ايران ويج

آره darg راست میگه.هر چقدر هم ما ویروس رو undetect کنیم بازم شناسایی میشه اما یکم بیشتر طول میکشه ولی کلا بهتره که undetect هم بشه

نه منظورم اینه که ویروس خودش رو باز نویسی کنه .
یعنی دیگه اون ویروس قبلی نباشه !
اینطوری هم به هوش نویسنده بستگی داره . و هم به هوش برنامه .
ویروس خودش باشه و خودش بهتره.

البته یادم رفت بگم.
به یه کار تیمی خیلی متمرکز نیاز داره .
بچه ها نمی خوان کد نویسی رو شروع کنند؟؟
حالا یه چیزی باشه تا کاملش کنیم بهتره . تا چیزی نباشه و هیچ کاری نکنیم.

اتفاقا من شروع کردم:

دارم روی دست کاری (تغییر امضاء) فایل اجرایی کار میکنم البته حدفم این هم بوده که حجم فایل اجرایی تا اونجایی که امکان داره کم بشه در پیوست چند تا فایل میبینید که همشون فقط کار برنامه پروژه رو انجام میدند و به نتایج جالبی رسیدم:

کاری که کردم این بود
* فایل A1.exe فایل اجرایی اصلی پروژه است حجم= 20.480 بایت و حجم در حالت فشرده 2.966 بایت
* فایل A2.exe با حذف دستی داده های اضافی فایل A1 به دست اومد (البته در محیط یک Hex Editor)
A2 حجم: 20.480 بایت حجم فشرده: 1.756 بایت

بنابراین میشه حتی با حذف اطلاعت اضافی در فایل ها حجم نهایی مورد استفادشون رو کن کرد A1 >>> A2 کاهش حجم 41.8%


اما فایل های B1 رو از فشرده کردن فایل A1 به وسیله یک برنامه Exe Compresor به دست آوردم (برنامه fsg)

* فایل B1 حجم 4.585 بایت حجم در حالت فشرده 2.886 بایت
* فایل B2 همون روشی که A1 رو به A2 تبدیل کردم B1 رو هم به B2 تبدیل کردم
B2 حجم: 4.585 بایت حجم فشرده 2.365 بایت
B1 >>>> B2 کاهش حجم 19.1%

نمی دونم چرا . ولی من توی فایل های b1 , b2 فرقی ندیدم.
الا آیکنشون .
یعنی ظرفیت دوتاشون یکی بود
چرا؟

کل بخش Resoure در B2 حذف شده اگر می خوای فرقش رو ببینی برو تو Properties خود فایل ببین چه فرقی دارند
کلی B1 رو دستکاری کردم تا B2 در اومد

مژده بچه ها
پروژه پوسته ام به موفقیت پیوست !

هدف پروژه: مخفی کردن ویروس (فایل اجرایی) در دل فایل اجرایی دیگر (پوسته) تا آنتی ویروس قادر به شناسایی ویروس اصلی نباشد !

فایل های پیوست - توضیحات:

* فرض کنید فایل A1.exe همان ویروس است که سورس آن در پوشه ProjectA موجود است
A1.exe حجم 16.384 بایت

* فایل A2.exe از دستکاری فایل A1.exe در یک برنامه HexEditor به دست آمد (داده های اضافی حذف شده اند)
A2.exe حجم 16.384 بایت

* فایل A3.exe به وسیله کد فشرده ساز مخصوصی که به زبان VB طراحی کرده ام از فایل A2.exe به دست آمد
A3.exe حجم 1.706 بایت (کاهش حجم بیش از 90 درصد فایل حاصله قابل اجرا نیست مگر اینکه از حالت فشرده در بیاید)

* فایل B1.exe این فایل همان پوسته است که سورسش در مسیر ProjectCortex موجود می باشد
فایل A3.exe به ریسورس B1.exe اضافه شده
توجه داشته باشید که محتوای A3.exe یک فایل اجرایی قابل قبول نیست و اینکه فایل B1.exe هیچ عمل تخریبی انجام نمی دهد
با اجرای فایل B1.exe پوسته این فایل باز شده و فایل اصلی ویروس که A4.exe می باشد (همان فایل A2.exe) بیرون میجهد و اجرا می شود
B1.exe حجم 20.480 بایت

* فایل B2.exe از فشرده کردن فایل B1.exe به وسیله برنامه FSG به دست آمده
B2.exe حجم 6.909 بایت
یعنی فایل پوسته با کسر حجم به B2.exe تبدیل می شود


حالا باز از IRVirus بیاند بگند از ما هیچی بر نمی یاد

آنچه در بالا گفته شد در یک جمله یعنی چه:

برای تکثیر از فایل B2.exe با حجم 7 کیلو استفاده میشود و در بعد از اجرای آن پوسته پاره شده و فایل A4.exe یعنی ویروس اصلی باحجم 16 کیلو بایت اجرا می شود !

نکته مهم دقیقا همین است از دل یک فایل اجرایی غیر مخرب یک فایل اجرایی مخرب با حجم بیشتر به دست آمد !!!

این موفقیت را به همه بچه های ایرانویج تبریک میگویم

اصلا نمی خواد کسی تبریک بگه. خودم می دونم D:

ايول Darg جان يکي طلبت

راستي بچه ها نظرتون درباره آپديت شدن خودکار ويروس چيه؟
(مثلا ورژن جديدشو دانلود کنه)

يا تو فايل ها دنبال توابعي بگرده که يه کلمه کليدي توش باشه
مثلا تو يه فايل DLL يه تابع تعريف شده به نام KILL... چون تو تابع کلمه کليدي KILL هست ازش استفاده کنه (يه چيزي تو مايه هاي DLL Injector)?

این کار رو خیلی وقت پیش تو تیم ای ار ویروس انجام دادیم
http://irvirus.persiangig.com/document/I...WithVB.zip

_HoseiN_ نوشته است:این کار رو خیلی وقت پیش تو تیم ای ار ویروس انجام دادیم
http://irvirus.persiangig.com/document/I...WithVB.zip

خوبه ولی روشی رو که من پیاده کردم در هیچ جا آموزش داده نشده که من برم یاد بگیرم بیام کار کنم
در ضمن الان این تکنولوژی بومی شده و از انحصار گروه های انگشت شمار در اومده
(در ضمن بابت فایل آمورشی هم متشکرم ولی دیگه به در ما نمی خوره خودمون باید بریم آموزش بیدم)

هدف بعدی غنی سازی تا 30 در صد. البته اگر سازمان ملل گیر نده !