|
| Посл.отвђт | Сообщенiе |
|
|
Дата: Авг 3, 2004 17:38:07 · Поправил: Sk. Inc. Вопрос, собственно, не про вирусы, а про шпиона SpyAgent от Spytech. Мне нужно незаметно его поставить на нескольких компах, где стоит Kaspersky Personal v5 с расширенными вирусными базами. Проблема в том, что он определяет программу как "not-a-virus:RiskWare.Monitor.SpyAgent.xxxxxx" (вместо x - какие-то цифры) и рекомендует удалить файлы. Exe-файлы я упаковал EP Protector'ом, но в программе есть одна dll'ка, которая догружается к каждому процессу (она, собственно, и является шпионом), а протектор может паковать только exe :( Пробовал ASPack и UPX, но они упаковать не смогли, т.к. программа запакована Neolit'ом. Может кто чего посоветует? Заранее благодарен за помощь. |
|
|
Дата: Авг 3, 2004 19:12:05 Я конечно не сверх умный о всех этих делах, но думаю что тебе стоит попробовать их зашифровать и хотя бы пересобрать (предварительно) на PE Utils. |
|
|
Дата: Авг 3, 2004 19:14:34 Самое главное найти хороший(!) шифратор, т.к. чем лучше будет шифроваться, тем меньше вероятности что АВП что нибудь вякнет. Проблема еще и в том чтобы это дело не просто шифровалось а динамически "извращалось в памяти". Так что имей ввиду что тебе нужен не просто шифратор исполняемых файлов, а что-то наподобие утилиты для создания полиморфных вирусов. |
|
|
Дата: Авг 3, 2004 23:48:45 > Exe-файлы я упаковал EP Protector'ом Ссылочку не дашь на протектор? =) > не просто шифровалось а динамически "извращалось в памяти" Бред, сам-то понял че сказал? Особенно интересно зачем надо "извращалось в памяти" если сканер чекает файлы а не память? |
|
|
Дата: Авг 4, 2004 09:19:22 2Dr.Golova +) вот тебе и ссылочка EP Protector 0.3 by FEUERRADER http://wasm.ru/toollist.php?list=8#243 |
|
|
Дата: Авг 4, 2004 12:34:31 NoName Проблема как раз и состоит в том, что нужно чем-то зашифровать упакованную Neolit'ом Dll. Большинство пакеров/протекторов не работает с Dll, а бОльшая часть тех, которые работают, не могут обработать уже запакованный файл :( |
|
|
Дата: Авг 4, 2004 13:54:36 2Sk. Inc. если размер не сильно здоровый, намыль мне на sickle@list.ru - иногда удавалось обмануть каспера... мож и выйде че... |
|
|
Дата: Авг 4, 2004 14:57:00 · Поправил: Sk. Inc. Sickle Вот ссылка SpyAgent 5 (1.8 Mb), качай с нее, а то мылом будет на 25%-30% больше траффика. Библиотека %windir%\system32\NTInvisible.dll, упакована Neolit'ом. Касперским определяется только при установке расширенных баз. |
|
|
Дата: Авг 5, 2004 12:54:03 Sickle Ну как? Получается? |
|
|
Дата: Авг 5, 2004 13:40:54 Если распаковать библиотеку (через дамп), то Касперский вируса в ней уже не видит :) но библиотека становится не рабочей. Странно, другие Dll я распаковывал нормально (руки у меня не кривые ;) ). Может это связано с секцией разделяемых данных (.shared)? |
|
|
Дата: Авг 7, 2004 15:06:46 не выходит :( я хотел обойтись без распаковки - иногда бывает достаточно подправить код в EP... повожусь еще, если получится - маякну. |
|
|
Дата: Авг 9, 2004 15:48:20 Sickle Спасибо за помощь. Ладно, если не получается, то не надо. Я попробую поставить на компы другие антивирусы. |