این آنتی ویروسا خیلی گیرن، خدا نسلشونو از رو زمین بر داره
من یه فیلم توی Milw0rm دیدم در مورد اینکار که از طریق تقسیم کردن فایل به قسمت های کوچکتر و اسکن کردن اون قسمت ها پیدا میکرد که آنتی ویروس به چی داره گیر میده.
البته فکر نکنم روش خوبی باشه، چون اینجوری باید همه آنتی ویروسارو نصب کنی و رو تک تکشون امتحان کنی
به هر حال دیدنش خالی از لطف نیست
اینم از لینکش:
http://milw0rm.com/video/watch.php?id=77
ایول بچه ها
هرکی یه روشی بلده .
یه کد هست تو وی بی که میشه دیال اپ طرف رو کش رفت ولی بیشتر انتی ویروس ها به اون گیر میدن ایا راه حل دیگه برای کش رفتن دیال آپ هست
کلا انتی ویروس ها اگه چه چیزایی رو تو تروجانت داشته باشی بهش گیر میدن
sayberiya نوشته است:کلا انتی ویروس ها اگه چه چیزایی رو تو تروجانت داشته باشی بهش گیر میدن
چیزهایی که تو هر تروجانی معمولا استفاده میشه
مثلا چیا و جای گزین اون کد ها چیه که انتی نشناستش
اين رو در مورد ويروس ها تا حالا امتحان نكردم ولي وقتي داريم يه برنامه اي كه از CRC Check استفاده مي كنه رو كرك مي كنيم . به جاي Nop كردن كدها ( در اينگونه محافظت ها برنامه به دستورات NOP متوالي حساس هست ) ميايم يك سري كد زنجيروار كه اشكالي در برنامه ايجاد نمي كه رو به جاي Nop به كار مي بريم.
حالا در مورد كدهايي هم كه آنتي بهش گير مي ده شايد بشه با پيچيده يا اضافه كردن كدهاي ديگه به كد اصلي آنتي رو فريب داد.
اما كلا آنتي هايي مثل كاسپر به بعضي از توابع كلا مشكوك هستند و طاقت ديدن اونها رو ندارن. بايد سعي كنيد به جاي كپي پيست كردن كدها ، فقط از اونها الهام بگيريد و كدهاي جديدتري بنويسيد. در ويندوز براي انجام هر كاري چندين راه مختلف وجود داره. پس سعي كنيد براي انجام كارهاتون از راه هاي جديدتري استفاده كنيد.
توی یکی از برنامه ها از تابع PStoreCreateInstance واقع در pstorec.dll استفاده شده و دو تا از آنتی ویروس ها به همین مساله گیر میدن و به عنوان ویروس شناساییش میکنن، در صورتی که این برنامه ویروس نیست
برای اینکه تابعی از دید آنتی ویروس مخفی بمونه باید چیکار کرد؟
یا به عبارتی چطوری نام تابع رو کد کنیم؟
میتونی نوع فراخوانی توابع رو عوض کنی یا میتونی برنامتو 2 قسمتی کنی 1 loader و 2 virus که بخش اول فقط قرار دادن بخش دوم تو حافظه هست البته بخش دوم به صورت کد شده داخل بخش اول قرار داره