Сообщений в теме: 14

[Cлоны_они_повсюду]

Имееется самописный троян на vb 6.0

После запуска копируется в %SystemRoot%\system32\drivers
Добавляется в реестр в ветку HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Скрывается из диспетчера задач (в процессах остаётся под именем smss.exe)
Конектится к мирк серверу (через Winsock) и ждёт команд

Касперской не палит его. Но когда юзер запускает троя, то каспер начинает орать, типа действия похожи на другой троян и сразуже блокирует его.
В этой теме я хочу увидеть не код, а алгоритм на который касперский будет молчать как партизан(куда копироваться лучше, к каким веткам реестра касперский относится более дружелюбно и как максимально запустать код)

[###]

Цитата

В этой теме я хочу увидеть не код, а алгоритм на который касперский будет молчать как партизан(куда копироваться лучше, к каким веткам реестра касперский относится более дружелюбно и как максимально запустать код)

Если бы все было так просто, такими алгоритмами обычно не делятся, в паблике. Меня бы тоже заинтересовало решение этой проблемы

[Joe_BLack]

А криптование?

[Cлоны_они_повсюду]

Joe_BLack (26.6.2009, 16:26) писал:

А криптование?

Криптование не поможет потому, что после нажатия на трой он раскриптуется и опять станет палевным

[maibe]

Это кто сказал, что крипт не поможет???

Очень даже поможет, только криптовать надо не код а API!

Если вы так уверены в том что все крипторы скантайм!(то есть декрипт идет в файл и файл запускается), то Вам точно не поможет ни один RunPE модуль!
Это возможно!!! именно из-за структуры PE-файлов и запуска кода из массива, тоже самое используется при inject'e в процесс.

[4NearU4]

maibe (6.3.2010, 4:45) писал:

Это кто сказал, что крипт не поможет???

Очень даже поможет, только криптовать надо не код а API!

Если вы так уверены в том что все крипторы скантайм!(то есть декрипт идет в файл и файл запускается), то Вам точно не поможет ни один RunPE модуль!
Это возможно!!! именно из-за структуры PE-файлов и запуска кода из массива, тоже самое используется при inject'e в процесс.

Блин, тоже так думал, пока не прочел такую строчку "В процессе эвристического анализа производится проверка эмулируемой программы анализатором кода" в вики.

Знаю 2 пути, один работает, а второй фантастический:

1. вырубить каспер через процессы по ID  - реализуется такая муть даже обычным скриптом .cmd или .bat
2. ковыряем "правила" - пусть он спалит, но добавит в исключения. это мечта...)

[red_mould]

Блин ребята, ну и смех и грех. Сразу скажу что не в коем случае не планирую обидеть/помакнуть автора запроса. Так шо без обид (человек я грубоватый). А зах каспера убивать? К слову(с каспером не пробовал) но например при попытке убить симантек даже из таск манагера он сразу начинает выть что типа это ай-яй-яй и вообще это делать не следует. Ну и ясен пень не убивается... Потом по поводу автозагрузки. А шо окромя ветки Run больше других веток нет? Или она медом помазана?! Смотри любой дурак может полезть в эту ветку и вычистить из нее все лишнее(еще бы в автозапуск запхал бы. Сори.). Ну сразу скажу по поводу реестра что например можно запхать тоже самое в ветку Winlogon\Userinit. Например у автора зевса мозгов хватило... Ну и как ты собираешься прятаться? Короче говоря курите ядро винды и реверс и системный программинг и будет вам счастье!

[4NearU4]

red_mould (14.5.2010, 17:08) писал:

Короче говоря курите ядро винды и реверс и системный программинг и будет вам счастье!

пожалуйста , если не затруднит, подкрепите свое высказывание "практическими" примерами и если можно  своими словами дать определение "реверс" и "системный программинг". Спасибо.

[vault0x54]

Цитата

вырубить каспер через процессы по ID - реализуется такая муть даже обычным скриптом .cmd или .bat

Цитата

если не затруднит, подкрепите свое высказывание "практическими" примерами

Начал бы с себя ;)

[4NearU4]

vault0x54 (21.7.2010, 0:53) писал:

Начал бы с себя ;)

@echo off
taskkill /PID 1232

taskkill /F /PID 1232

taskkill /F /IM имя здесь /T


/F -принудительно

/T - и все связанные с ним ( дочерние)

/IM имя вместо PID

Кстати я сказал что легко написать, а не легко прибить его, он ПИД меняет каждый раз при рестарте.

[vault0x54]

Цитата

Кстати я сказал что легко написать

Ну-ну, дядя Женя в опасносте! Жалко что не работает то, что легко написать.
Что бы избежать рассуждений, прилагаю скрин:

[4NearU4]

vault0x54 (21.7.2010, 21:17) писал:

Цитата

Кстати я сказал что легко написать

Ну-ну, дядя Женя в опасносте! Жалко что не работает то, что легко написать.
Что бы избежать рассуждений, прилагаю скрин:

а вот такая строка date 01.01.1970 ?

[vault0x54]

4NearU4 (22.7.2010, 8:51) писал:

vault0x54 (21.7.2010, 21:17) писал:

Цитата

Кстати я сказал что легко написать

Ну-ну, дядя Женя в опасносте! Жалко что не работает то, что легко написать.
Что бы избежать рассуждений, прилагаю скрин:

а вот такая строка date 01.01.1970 ?

А давай тут копипастить все методы, которые были в 2002 году и я буду их проверять?
Нет, ошибка с отключением защиты из-за сбоя даты устранена много лет назад. Учи матчасть.

[4NearU4]

vault0x54 (22.7.2010, 10:23) писал:

4NearU4 (22.7.2010, 8:51) писал:

vault0x54 (21.7.2010, 21:17) писал:

Цитата

Кстати я сказал что легко написать

Ну-ну, дядя Женя в опасносте! Жалко что не работает то, что легко написать.
Что бы избежать рассуждений, прилагаю скрин:

а вот такая строка date 01.01.1970 ?

А давай тут копипастить все методы, которые были в 2002 году и я буду их проверять?
Нет, ошибка с отключением защиты из-за сбоя даты устранена много лет назад. Учи матчасть.

а я не увлекаюсь копипастом и к сожалению не знал , что это уже не работает.

Ссылки дай на мат часть пожалуйста, я думаю они пригодятся многим.

[vault0x54]

]]>Отличная ссылочка]]>

Цитата

а я не увлекаюсь копипастом и к сожалению не знал , что это уже не работает.

А чего пишешь, если не знаешь? Лучше учить системный программинг, толку больше будет