Техника выживания в мутной воде или как обуть антивирус

       

падчим файл, упакованный ASPack – замена 60h на 90h срубает антивирусы напрочь


Если лень возится с hiew'ом, воспользуйтесь любым подходящим скремблером – программой для автоматического затирания сигнатур. Их легко найти в сети, только учите, что большинство из них ни хрена не работает, потому что искажает совсем не те сигнатуры, на которые реагируют антивирусы или в оголтелом порыве энтузиазма гробят файл так, что вместе с антивирусом его перестает узнавать и сам распаковщик. Так, в частности, ведет себя незаслуженно популярный HidePX, который лежит здесь http://wasm.ru/tools/12/HidePX.zip.

Как альтернативный вариант, можно не затирать сигнатуру оригинального упаковщика, а, напротив, нафаршировать файл подложными сигнатурами прочих крутых упаковщиков. Ошибочное распознание упаковщика препятствует его распаковке и антивирус тихо кончает, отпуская вирус восвояси. Однако, этот путь не обходится без проблем. Первое и главное – где брать сигнатуры? Программы-протекторы (такие, например, как EPProt http://download.ahteam.org/files/oursoft/epprotector.zip), подкладывают сигнатуры, надерганные из pe-сканеров[1], против которых они, собственно, и нацелены. Антивирусы могут использовать другие сигнатуры и тогда наживка не срабатывает.

Возьмем bo2k.exe, упакуем его ASPack'ом и внедрим одну (а лучше несколько) подложных сигнатур, услужливо предоставленных EPProt'ом. Пусть для определенности это будет tElock. В окне "select" указываем путь к подопытному файлу, в окне "insert signature" отмечаем выбранную сигнатуру (по одной за раз) и давим на "Protect EP". Зовем антивирус и говорим "фас!": AVP с победоносным хрюком свиньи, заживо спускаемой в унитаз, разрывает противника в клочья. Dr.WEB хотя и не распознает Back Orifice, но ругается на "возможно win.exe вирус", что не есть хорошо.



Содержание раздела