میخواستم بدونم چجوری میشه یه سورس که کامپایل شدش شناسایی میشه رو undetect کرد.
مثلا سورس مجیک رو که کامپایل میکنم شناسایی میشه.با چه کدی یا چجوری undetect ش کنم؟
مرسی
1-string ها رو به صورت مستقیم در برنامه قرار نده یعنی در قسمت Load شدن برنامه یه متغیر تعریف کن و استرینگ ها رو در اون قرار بده و موقع استفاده اون متغر رو Load کن.
2-متغیری که در بالا در بارش توضیح دادم از قبل Encode کن و موقع استفاده از Decode اون استرینگ استفاده کن
3-موقع استفاده از دستورات رجیستری (حتما) باید اون مقادیر به صورت Encode در بیان و مانند استرینگ های بالا به صورت Decode در رجیستری وارد بشن
4-سعی کن حتی الامکان از Procedure ها و یا Function های کمتری توی برنامت استفاده کنی و تا جایی که ممکنه تمام کدهای برنامت رو توی یه Procedure قرار بدی
5-اگه برنامت به شکلی هستش که نیاز به Edit شدن توسط Edit Server داره (مثل Virus Maker ها و Password Sender ها) سعی کن فضای بیشتری به طول استرینگ ها بدی
6-از کم ترین کدها واسه برنامت استفاده کن
7- در قسمت Load شدن برنامه کد های حساس زیادی وارد نکن بلکه فقط نام Procedure ی که کدها در اون قرار دادن رو در قسمت Load شدن برنامه قرار بده یا اینکه کد ها رو توی یه تایمر بذاز چون معمولان آنتی ویروس ها تمرکز اصلی شون در بخش Load برنامه هست و بیشتر اون قسمت ها رو تست میکنن
8-بعد از کامپایل کردن برنامت از Packer های خیلی ساده مثل UPX استفاده کن چون اکثر Packer ها توسط آنتی ویروس شناسایی میشن ( حتی اگه برنامه ای که پکش کردی مخرب نباشه)
9- قبل از Pack کردن سرور سکشن های برنامتو تغییر بده بعد پک کن من این روش رو انجام دادم و نتیجه هم داده (شاید خیلی ها بگن اصلا ربطی نداره)
10-سعی کن زیاد از دستور File Copy توی برنامت استفاده نکنی چون آنتی ویروس ها به این دستور خیلی حساسیت دارن
فعلا این 10 روش رو انجام بده اگه بازم نیاز بود روش های دیگه ای رو هم برات توضیح میدم
دمت گرم همینا کافی بود :X
ممنون ارش جان
به نکته های جالبی اشاره کردی ما هم استفاده کردیم ......
یه فایل معمولی رو اگه با بعضی از پکرها مثلا" Upack پک بشه
یه سری انتی ویروسها فایل رو پر خطر اعلام می کنن .....
نقل قول: مثلا سورس مجیک رو که کامپایل میکنم
دوست عزیز
میشه لینک سورس رو بذارید ما هم یه نگاهی بهش بندازیم ....
پیشاپیش ممنون
