|
| Посл.отвђт | Сообщенiе |
|
|
Дата: Ноя 4, 2003 17:26:23 Народ, кто знает как это делается(subj)? Подскажите, плиз! Может исходники какие есть? Заранее благодарен! |
|
|
Дата: Ноя 4, 2003 17:50:53 Теоретически возможно, но зачем такой изврат нужен? |
|
|
Дата: Ноя 4, 2003 18:05:54 Dr.Golova Ээх, только не бей ногами, проблема все в том же трояне и моей криптовалке, с которым я так и не разобрался. Хочу попробывать заражать его в начале, но не знаю как. Или может все же расскажете душе грешной, как мне мою криптовалку исправить чтобы она работала с этим трояном? |
|
|
Дата: Ноя 4, 2003 18:52:43 > которым я так и не разобрался Вот лучше с ним сначала разберись - заражать в середине сложнее, а плюсов это никаких не дает. |
|
|
Дата: Ноя 4, 2003 22:50:59 МММ... вопрос - а чем плохо: засунуть код в ресурсы, а из середины модуля сделать jmp туда. Естественно поправить EntryPoint |
|
|
Дата: Ноя 4, 2003 23:15:14 · Поправил: Asterix rst А зачем ещё и EP потом править? Вообще меня очень веселит как человек клепает вирус и совета спрашивает у Dr.Golova работающего в Kasp. Lab :-) Хотя в принципе Касперскому выгодно чтоб вирусов было как можно больше :-))) |
|
|
Дата: Ноя 6, 2003 00:41:16 Кстати вопрос Dr. Golova - а что ж с касперским такое, что от него можно спрятать любой вирь, изменив в нем пару байт-то?... |
|
|
Дата: Ноя 6, 2003 01:54:21 > Кстати вопрос Dr. Golova - а что ж с касперским такое, > что от него можно спрятать любой вирь, изменив в нем пару > байт-то?... А от всех других разве нельзя? |
|
|
Дата: Ноя 6, 2003 02:37:36 Не ото всех.. Правда я AVP ставил всегда на пару ступенек выше чем остальные продукты. |
|
|
Дата: Ноя 6, 2003 10:56:22 заражение в начало - в общем-то глюк, можно делать как делает это CIH... врезка вируса в середину - самый нормальный способ, далается так: 1. стартовый код из EntryPoint размером в тело вируса раскидывается по коду жертвы (в белые пятна, забитые NULL-ами) 2. в место стартового кода записывается тело вируса 3. Все! Достоинства: 1. не меняется EntryPoint 2. сложно к лечению антивирусниками 3. не увеличивается размер файла Недостатки: 1. Упакованные и файлы с маленьким объемом белых пятен заражению не поддаются. |
|
|
Дата: Ноя 6, 2003 19:57:10 Ню-ню. > 1. стартовый код из EntryPoint размером в тело вируса > раскидывается по коду жертвы (в белые пятна, забитые > NULL-ами) И чего дальше? Выполнять мы этот код похоже не собираемся? > 2. сложно к лечению антивирусниками Обьясни плз в чем сложно скопировать эти куски назад поверх трипака? |
|
|
Дата: Янв 25, 2004 10:13:33 Можно, если поместить код в межсекционное пространство, как это делал CIH. Роичём это реально. Ну что касается начала модуля, это только если сдвинуть, запуститься , отработать, а потом залить всё обратно... можно, но такая тема проканает лишь с жертвами, создаными борландовскими компиляторами, в противном случае, придётся попатеть.. сам знаешь почему, надеюсь. |
|
|
Дата: Янв 25, 2004 10:20:57 rst Как и любой нормальный авирус касперыч идентифицирует вирь по маскам. А ты эвристику задрать не пробовал ?? Хотя.... помню нортон у мня ругался благим матом на самопальный , но мирный загрузчик. А вот каспер на вирь в MBR (моего изготовления) даже не обратил внимания, хотя код был не закриптован и не содержал вызовов прерываний, всё через порты в/в. странновато вообщето... |
|
|
Дата: Янв 25, 2004 10:23:08 В одном из номеров журнала "Системный администратор" была любопытная статейка Криса Касперски, освещавшая данный вопрос. Попробуй заглянуть туда. |
|
|
Дата: Июл 19, 2004 15:58:08 CARDINAL А где достать статью в электронном виде ? |