ايران ويج

سلام دوستان .
راستش من جديدا يه ويروس با VB نوشتم .
و مي خواستم بدونم آيا راه حلي عملي وجود داره تا ويروسم توسط NOD32 شناسايي نشه ؟
با UPX و ASPack هم امتحان كردم ولي نشد.
منظورم اينه كه تمام آنتي ويروس ها حتي با آخرين UpDate ها هم نتونستند شناسايي كنند .
اما اين Nod خيلي راحت مي شناسه.
مي خواستم بدونم بايد چي كار كنم ؟
يه خواهشي دارم.لطفا منو به ارسال هاي قبلي پاس ندين و در صورت امكان لينك برنامه يا سورس يا هر چيز ديگري را كه تونستين بگذارين.
اگر ممكنه يك Packer جديد هم معرفي كنين.
ممنونتون مي شم. با تشكر از همگي.

nodمیشناسه چون با تکنیکهای خاص خودش 20 byte اول برنامه رو میخونه و اگه packشده باشه اونو unpack میکنه ولی اگه نتونه unpack کنه از خیر فایل میگزره شما یا یه پکر بنویس یا از یه پکر که معروف نیست استفاده کن یا از بعضی پکرها که سازگاری با پکرهای دیگه دارن استفاده کن(میتونی نود 32 رو هم غیر فعال کنی)

سلام دوست عزيز.ممنون از اينكه منو راهنمايي كردين.
راستش من مي تونم نود را غير فعال كنم.اما ويروس من به مرحله ي اجرا نمي رسه.
هنوز اجرا نشده كه نود دخلشو مياره.
بايد كاري كنم كه تا مرحله ي اجرا دوام بياره . بعد از اجرا همه ي آنتي ها رو غير فعال مي كنم.اما همونش مهمه ديگه.
به اجرا نمي رسه.
مي شه خواهشا لينك Packer هايي كه مد نظرتون هست را بدين ؟
مرسي.

كلا وي‍ژوال بيسيك براي ويروس نويسي يكم ضعيف هست اما باز هم مي شه يه كارهايي كرد. برنامه هايي مثل NOD32 يا KasperSky 2009 ديگه روش هاي سنتي ويروس يابي رو كنار گذاشتن و با كنترل امكانات يك برنامه ، اون رو شناسايي مي كنن.
مثل اينكه پليس به جاي رد گيري مجرمين سابقه دار يا كسايي كه كار مجرمانه اي انجام مي دن، تمام كسائي كه اسلحه يا چاقو همراهشون هست رو دستگير كنه!! همين كاسپر 2009 حتي به بعضي بازي ها هم رحم نمي كنه و به طور قاطع كي لاگر تشخيص مي ده.

يه راهي كه من دارم روش كار مي كنم به اين صورت هست كه شما ابتدا يك خط شكن روي سيستم مي فرستيد تا اوضاع رو كنترل كنه و در صورت وجود مشكلي مثل ويروس كش اون رو با روش هاي مختلف از كار بندازه و در نهايت ويروس اصلي رو بار گيري كنه.
اين بارگيري مي تونه دانلود از يك سايت، استخراج از ريسورس ،ذخيره كد باينري يا.... باشه. در هر صورت بايد كاري كنيد تا توابع به كار رفته در ويروس از چشم ويروس كش ها دور بمونه.

خب همينش مهمه.
من كه هر كاري كردم نشد.
از چشم همه دور مي مونه الا نود.
حتي وقتي تو ريسورس مي ذارم هم بازم بهش گير ميده.ديگه موندم چه كار كنم.
ويروس اصلي رو پك كردم گذاشتمش تو ريسورس يه فايل ديگه.فايلي كه ويروسم توش بود رو هم پك كردم.اما بازم شناخت.
يه خواهشي دارم لطف مي كنين و لينك چند تا پكر كارآمد رو براي من بذارين ؟
يا حداقل يه راه اساسي نشونم بدين؟
اين نوده بد جوري سد راهمه.اگه كمكم كنين كه ممنون مي شم.

آقای دیدی میشه در مورد کسپر اسکای 2009 بیشتر توضیح بدید

ويروست رو با ‌پكرهايي پك كن كه دامپ نشن. مي توني از ASProtect استفاده كني. Mev هم چيز جالبي هست ولي پكرهايي مثل UPX خداوكيليش خيلي دمده هستش!!

در ضمن مي توني فايل ويروست رو كامپايل كني بعد اون رو با هگز اديتور باز كني و كلش رو كپي كني داخل يه متغير ، اونوقت مي توني از داخل برنامه يه فايل رو باز كني و كل متغير رو داخلش بريزي. اينطوري بهتر از ريسورس جواب مي ده.

-------------------------------------------
كاسپراسكي 2009 هم از اسمش مشخصه ديگه. براي يال ديگه طراحي شده ولي نسخه بتاي اون قابل دسترسي هست. من لينك دانلودش رو داخل سايت گذاشتم.
كاسپر اين بار مثل يك فايل مانيتور و رج مانيتور و API مانيتور تمام عيار شده. تثريبا به همه چيز گير مي ده مثل باز شدن IE يا تغيير تنظيمات صفحه دسكتاپ و .... . تمام توابع داخل فايل رو بررسي مي كنه و اگه برنامه اي قصد استفاده از توابع خاصي رو داشته باشه پيغام مي ده. در مواردي هم كه درصد وجود توابع API به حد مشخصي برسه اون برنامه رو به صورت تروجان يا كي لاگر تشخيص مي ده.
اين خاصيت گرچه جلوي همه چيز رو مي گيره ولي باعث ايجاد مشكلات زيادي هم مي شه از جمله همين برنامه Windows Media Player 12 كه من لينكش رو براي دوستان قرار دادم، كاسپر و برخي ديگر از آنتي ها اون رو به عنوان تروجان يا كي لاگر تشخيص مي دادن كه باعث شك و ترديد دوستان شده بود.

خود من هيچ وقت از آنتي ويروس استفاده نمي كنم ،اين كاسپر 2009 رو هم نصب كردم ببينم چطورياست ولي تا رو سيستمم اجرا شد اونقدر جيغ كشيد تا مرد!! منم جنازش رو از رو سيستم پاك كردم.

شناسايی يک ويروس بيشتر به طرز نوشتن ويروس بستگی داره.
مثلاً اضافه کردن تعداد زيادی API
يا کد نويسی در تايمر به جای Form_load
جايگزين کردن API به جای دستورت خود VB مثل shell و يا FileCopy کپی
استفاده نکردن از بعضی از API مثل UrlDownloadtofile
بالا بردن حجم ويروس بالای 20KB
و...
و به نظر من موثر ترين روش بالا بردن حجم ويروس با کد نويسی هست.

sepehrEZ نوشته است:خب همينش مهمه.
من كه هر كاري كردم نشد.
از چشم همه دور مي مونه الا نود.
حتي وقتي تو ريسورس مي ذارم هم بازم بهش گير ميده.ديگه موندم چه كار كنم.
ويروس اصلي رو پك كردم گذاشتمش تو ريسورس يه فايل ديگه.فايلي كه ويروسم توش بود رو هم پك كردم.اما بازم شناخت.
يه خواهشي دارم لطف مي كنين و لينك چند تا پكر كارآمد رو براي من بذارين ؟
يا حداقل يه راه اساسي نشونم بدين؟
اين نوده بد جوري سد راهمه.اگه كمكم كنين كه ممنون مي شم.

برنامه مول باکس فايلهای که شما برای آن معين می کنيد را در يک فايل exe جمع می کند. بطور مثال شما يک ديتابيس که برنامه شما از آن استفاده می کند را با خود فايل اجرايی اصلی نرم افزار خود ادغام می کنيد.فايل اجراييت رو بوسيله برنامه mole با برنامه اصليت ادغام کن بعد از اين دستور استفاده کن ببين نتيجه چي ميشه:
Shell App.Path & "NameFileShoma.exe"
یه برنامه مثبت بنویسین که فقط انتی رو غیر فعال کنه و در صورت عدم وجود ویروس اصلی رو فعال کنه
از mule استفاده کن قابیتهای خوبی داره با پکر های دیگه هم سازگاره

من با بالا بردن حجم ويروشس موافقم چون ويروس كش ها فايل هاي بالا 30 K رو رد مي كنن و استفاده نكردن از كلديد هاي حساس Reg چون Reg هم كنترل ميشه و از كار انداختن Anti بعد از اجرا.براي بالا بردن حجم خوبه اول برنامه يا اخر برنامه رو يه Space بزاريم.يا كار هاي ديگه.

sima_6600 نوشته است:من با بالا بردن حجم ويروشس موافقم چون ويروس كش ها فايل هاي بالا 30 K رو رد مي كنن و استفاده نكردن از كلديد هاي حساس Reg چون Reg هم كنترل ميشه و از كار انداختن Anti بعد از اجرا.براي بالا بردن حجم خوبه اول برنامه يا اخر برنامه رو يه Space بزاريم.يا كار هاي ديگه.

منظور من از 20 بایت اول برنامه این نبوده که برنامه با حجم بالا رو نمیگرده بلکه ورژن جدید nod32 تو تمام پوشه ها اعم از rar,zip رو هم میگرده 20 بایت اول برنامه dos hedear,ntheader قرار داره که اطلاعات مربوط به اون فایل exe وجود داره در این بخش یه قسمت بنام importtable وجود داره که توابعی که برنامه استفاده میکنه اونجا ثبت هست با خوندن این بخش انتی ویروس تشخیص میده که این فایل ویروس هست یا نه وحتی بهتون اخطار میده که این برنامه شبیه یک ویروس خاص هست اگه یه loader خوب بنویسی میتونی از دست nod32 در بری و ما برنامه هایی مثل kaspersky یک hooker به تمام معنی هستند که وقتی یه برنامه میخواهد اجرا بشه loaderویندوز فرمان createprocess رو اجرا میکنه و کسپر بهد از run شدن پروسس فعالیتهای اونو تا یه مدت زیر نظر میکیره اگه یک تابع api مشکوک رو فراخونی کنه به شما اعلان میده و اگه یه تابع ممنوعه رو فراخونی کنه جلوشو میگیره البته همه این راهها قابل دور زدن هستند تو این قسمتهاست که خلاقیت یه هکر معلوم میشه