Доброго времени суток!
У меня такая проблема:
Есть некий екзэшник с программой под ХР/НТ/и т.п гадость.
Программа по рассказам является коммерческой и очень доброй, но антивирусы кричат что она вирусная(троян)! Разработчики уверяют что ничего подобного в ней нет, и что скорее всего просто совпадение каких-то кодов. Исходники этого модуля они, якобы, потеряли...
Передо мной поставили задачу: сделать так, чтобы антивири не ругались! В вирусописательстве я не разбираюсь, но кое-что удалось проверить:
я прочитал, что если запаковать EXE-файл тем же UPXом и изменить его сигнатуру, то все прокатит. Так и есть прокатило, НО ТОЛЬКО С ОФФЛАЙНОВЫМИ ВЕРСИЯМИ AVP! Стоило мне устроить проверку на их сайте, как тут же они рассказали мне всю подноготную моего тестового вируса!
Ребята, помогите мне пожалуйста, как мне изменить этот ОДИН исполняемый файл(без перекомпиляции), чтобы все антивири успокоились?

> коммерческой и очень доброй

Если антивирус ругается, то скорее всего файл заражен, потому что за каждый факт False Positive виновных наказывают, а если запись не удаляют из базы то видимо на то есть веские причины.

> подноготную моего тестового вируса

Так значит всетаки твоего и всетаки вируса :))

как мне изменить этот ОДИН исполняемый файл(без перекомпиляции), чтобы все антивири успокоились?
О! Если бы на этот вопрос существовал однозначный ответ, антивирусам пришлось бы очччень плохо.

Dr.Golova
а если запись не удаляют из базы то видимо на то есть веские причины.
AVP ругается на всё подряд, начиная от вирусов и кончая преполезнейшими программами ;).

Aquila
Всё вспоминаю, как моя BIOS признала инсталлер Win95 вирусом особо деструктивным :)))

ЗЫ: Ты забыл про мою просьбу о смене титула?

Quantum
Всё вспоминаю, как моя BIOS признала инсталлер Win95 вирусом особо деструктивным :)))
AVP почему-то считает многие программы проверки безопасности программного обеспечения вирусами.

Про титул сейчас вспомнил :).

Quantum
Паладин дзена

А кто это, Паладин дзена?

Aquila
AVP почему-то считает многие программы проверки безопасности программного обеспечения вирусами.
Я имел в виду тот инсталлер, что на CD, т.е. дос-инсталлер. Видимо, он что-то пишет в BIOS и тем самым сильно пугает её Величество.

Про титул сейчас вспомнил :)
Спасибо! Я просто счастлив! :)))

Asterix
А кто это, Паладин дзена?
Сейчас фотку поищу ;) Image Gallery на DiabloII.net в дауне :(.

Так значит всетаки твоего и всетаки вируса :))
Я имел тестовый вирус(!), на котором я испытывал вышеуказанный алгоритм смены сигнатуры у пакера для обмана AVP!

Ребята, очень нужно и сроки жмут!

А если запаковать UPX и перед переходом на OEP вставить свой код, который тоже будет передавать управление на OEP, но каким-нибудь извратным способом. А потом еще раз сверху чем-нибудь запаковать. И еще... :-)

Dr.Golova
Если антивирус ругается, то скорее всего файл заражен, потому что за каждый факт False Positive виновных наказывают, а если запись не удаляют из базы то видимо на то есть веские причины.

А откуда у Dr. Golov'ы такие познания в области работы антивирусных контор? Просто на форуме uinc.ru было его сообщение с IP не помню каким, но gethostbyaddr() мне сказала, что это muzzle.kaspersky-lab.com - неужели он работает на Касперского? Если я выдал какую-то военную тайну, убейте этот пост.

ssx
Это не тайна :)))

Dr.Golova работает на Касперского?
А на uinc.ru лежит статья Dr. Golov'ы "Как обойти AVP"

Люди, очень помощь нужна. Времени уже почти нет, а разобраться я не успеваю...Плиз

Dr.Golova
Так это я похоже по твоей статье и делал. Так что подскажи что не так: почему твой метод помогает только от "Оффлайновых AVP", а на их сайте все ОПРЕДЕЛЯЕТСЯ! Может я что-то не так понял? Проверь, плиз.