PDA

Просмотр полной версии : Прячем Зло или Чистим АВ-сигнатуры


vazonez
11.11.2009, 17:55
Прячем Зло или Чистим АВ-сигнатуры

Интро

Надюсь, тебе известно, как в АВ-программах организован поиск зловредов: в антивирусе есть база данных, в которой собраны сигнатуры вирусов - уникальные куски кода/данных. Антивирус ищет в файле эти куски, и если находит - прощай свежий криптор или троян.
В далекие времена, когда дети сидели за партами, а не писали вирусы, сигнатуры можно было выдрать из аверских баз, найти в малваре этот кусок, поменять - и опа, никто нас не видит. Но с тех пор, Евгений поумнел (или умных нанял), и начал хорошенько прятать сигнатуры. Доковыряться до них - задача не из легких, поэтому мы выберем путь полегче - найдем их самостоятельно, не копаясь в базах продуктов мозговой жизнедеятельности аверов.
Суть такого поиска сигнатур - попробовать менять каждый байт вируса, и если после такого он станет чистым в глазах АВ - мы нашли ее! У такой методы есть большое количество минусов - скорость поиска, возможность вообще ничего стоящего не получить и т.п. Но пробовать все-равно стоит!

"Сестра! Скальпель и кувалду!"

Для примера, от настырных глаз АВ будем прятать EXE - контейнер джоинера SunS Joiner. Склеивать будем 2 маленькие свежескомпилированые мирные проги - обе создают по обычному окну. Они есть в архиве к статье (см. внизу).
Софт, который будет использоваться:
1) Free Hex Editor ([Ссылки доступны только зарегистрированным пользователям]) - простенький хекс-редактор. Можно использовать тот-же WinHex.
2) OllyDbg v1.10 ([Ссылки доступны только зарегистрированным пользователям]) - отладчик, нужен для просмотра и редактирования нужной сигнатуры.
3) SunS Joiner v2.2.4 ([Ссылки доступны только зарегистрированным пользователям]) - джоинер, которым будем клеить файлы. Жутко палится, но нам это и нужно.
4) [SD] SignDetect ([Ссылки доступны только зарегистрированным пользователям]) - пропиарюсь немного :-) Этой тулзой будем искать сигнатуру.
5) KIS7 ([Ссылки доступны только зарегистрированным пользователям]) - собственно, от него и будем прятать файл.
6) PEiD v0.95 ([Ссылки доступны только зарегистрированным пользователям]) - для скана контейнера с целью сильно ускорить весь процесс очистки (см. ниже)

"На старт! Внимание! Марш!"

Открывай джоинер:

[Ссылки доступны только зарегистрированным пользователям]

Жми сразу "Без иконки". Для теста, лучше иконку не ставить, т.к. размер ЕХЕ на выходе будет меньше, соотвественно и сигнатуру искать быстрее будет. Добавляем наши тестовые файлы "poasm1k.exe" и "simple.exe". Нажимай на "Склеить" - сохраняй контейнер под любым именем, например "aaa.exe". Дальше клей нам не понадобится, поэтому закрывай его.
Следующий инструмент в очереди - SignDetect. Немного о нем: суть его работы вот в чем - берет наш контейнер, и по очереди меняет 1 байт (опционально, можно увеличить) файла и сохраняет такой "мод" в отдельной папке. После окончания работы в этой папке будет большое количество таких вот "модов". На эту папку нужно натравить АВ, который чекнет и удалит все палящиеся файлы. Файлы, что останутся в ней после проверки - с очищенной сигнатурой.
Запускай тулзу:

[Ссылки доступны только зарегистрированным пользователям]

Жми на "..." - выбирай контейнер "aaa.exe". Следующий шаг - определиться с настройками проги.
Опция "Скан файла" предназначена для выбора диапазона байт в файле, которые мы будем менять. Если контейнер большой (более 100 КБ) - процесс записи тулзой файлов будет длится долго, точно как и скан АВером всех файлов и очистка их же. Поэтому, если есть желание, время и фри спэйс на харде, то выбирай "Весь файл". В нашем случае выбираем "Диапазон (HEX)". Нижняя и верхняя границы диапазона - левое и правое поля соответственно. Для удачного в плане скорости выбора следует правильно выбрать их. Нижнее поле - чаще всего надо использовать смещение начала первой секции контейнера. Для этого открываем PEiD, выбираем в нем наш контейнер, и жмем на кнопку просмотра секция файла:

[Ссылки доступны только зарегистрированным пользователям]

Откроется окно с аттрибутами секций файла. Нам нужно узнать смещение первой секции EXE. Вот оно:

[Ссылки доступны только зарегистрированным пользователям]

Т.е. нужно выбирать самое наименьшее значение столбца "R. Offset". В данном случае оно равно 400h. На этом PEiD нам отслужил - можно закрывать, больше не понадобится. Вводим 400 в левое поле [SD] - это было нижнее значение. Верхнее - это размер файла. Смотрим его в проводнике или TC (Не забудь - оно там в десятиричном виде, а в [SD] нужно вбивать в HEX. Сконвертируй в калькуляторе или в уме ;-) В нашем случае вышло "560C". Это - верхнее значение, вбивай его в правое поле.
Следующая опция - "Количество байт для записи" - думаю назначение понятно. По умолчанию стоит "1". Если после окончания работы тулзы, все созданные файлы палятся - следует увеличить значение и повторить работу с тулзой.
Перед началом работы тулзы, лучше вырубить защиту АВ, т.к. она начнет буйно реагировать на работу с зараженным файлом. Жмем кнопку "Старт!" и ожидаем окончания работы, о чем нам скажет сообщение - "Готово!". На этом работа с тулзой закончена - можно ее закрывать.

Природный отбор

После окончания работы с [SD], рядом с программой создастся папка "SIGN_DETECT", в которой будут измененные EXEшники нашего контейнера. Натравляем АВ на эту папку (Важно! В антивирусе нужно включить опцию - "удалять зараженные". С ней будет намного удобнее - те файлы, которые остались палевными удалятся, а нужные останутся в папке) и ждем конца проверки. После окончания видим такуюю картину:

[Ссылки доступны только зарегистрированным пользователям]

Всего файлов в папке - 21448, а зараженных - 20876. Т.е. очищенных - 572 файла! Это отличный результат. Теперь, чтобы эти файлы не искать, дадим антивирусу удалить грязные файлы. Опять ждем, пока удалится ~20к файлов. После этого в папке остались только нужные нам файлы.

Сама чистка

Закрываем АВ и заходим в папку "SIGN_DETECT". Выбираем любой файл, например "000035A0.exe". Название файла соответствует смещению, по которому изменился байт. Этот файл нам больше не нужен, т.к. все что нужно - смещение, мы узнали.
Запускай Frhed и открывай в нем файл "aaa.exe" - наш контейнер. Топаем по адресу 000035A0 и видим такую картину:

[Ссылки доступны только зарегистрированным пользователям]

Запоминаем несколько байт по этому адресу, например 8 штук - (BF 68 66 40 00 33 С0 55). Чем больше байт, тем лучше - но в нашем случае восьми будет достаточно. Закрывай Frhed - он больше не понадобится.
Последний инструмент, который будем использовать - OllyDbg. Запускай ее, и открывай в нем наш "aaa.exe".
Откроется окно CPU с кодом программы. Нам нужно найти в этом коде ту последовательность байт, при изменении которой файл перестает палится. Для этого откываем окно "Binary Search" - Ctrl+B, вводи в нижнее поле последовательность байт BF 68 66 40 00 33 С0 55, чтобы это выглядело так:

[Ссылки доступны только зарегистрированным пользователям]

Жми "Enter" - поиск закончится и указатель в окне CPU станет на найденную инструкцию:

[Ссылки доступны только зарегистрированным пользователям]

Поиск остановился на адресе 004041A0, на строке "MOV EDI, 406668" - помещение в регистр EDI значения 406668h. Учитывая большое количество отсеяных файлов (572), скорее всего эта строка - только часть сигнатуры, т.е. если мы уберем/перенесем ее - АВ заткнется. Если ее просто изменить на случайное значение - ЕХЕ перестанет работать, поэтому нужно изменить байты так, чтобы код не потерял работоспособности. Самый простой способ - перенести эту команду в неиспользуемое место. Иллюстрация:

[Ссылки доступны только зарегистрированным пользователям]

Т.е. на место "MOV EDI, 406668" ставим прыжок на неиспользуемое пространство, там вставляем: "MOV EDI, 406668" и переход обратно.
Чтобы это осуществить, нужно найти неиспользуемое место в коде. Листаем 2 экрана вниз в окне CPU и видим много нулей, начиная с адреса 404379. Чтобы было удобнее, возьмем круглый адрес - 404380. Ставим на него указатель, жмем пробел - откроется окно для ввода инструкции. Вводим "MOV EDI, 406668" (без кавычек) и жмем "Assemble". Сюда же вводим команду: "JMP 4041A5" - переход на адрес, по которому лежит инструкция, следующая за "MOV EDI, 406668" в оригинальном ЕХЕ - "aaa.exe".
Последний штрих - по адресу 004041A0 вбиваем команду "JMP 404380". Сохраняем модифицированный ЕХЕ: в контекстном меню окна CPU выбираем "Copy to executable" -> "All modifications" -> "Copy all". В контекстном меню появившегося окна выбираем "Save file" и сохраняем под именем "aaa2.exe".
Готово! Закрывай OllyDbg и запускай "aaa2.exe". Если все делалось правильно - должно появится 2 окна, а значит патч сработал и мы все сделали правильно.

Проверка на вшивость

Каспер удачно заткнулся - можешь проверить на своем. Но есть более интересный результат:

Файл "aaa.exe", который мы не трогали, на VT:
35/41
[Ссылки доступны только зарегистрированным пользователям] 0a6a64df0b47d2-1257888873

Файл "aaa2.exe", наша версия:
19/41
[Ссылки доступны только зарегистрированным пользователям] 30c43e5da9ec9a-1257938117

Очень отчетливо видно, как заткнулись 16 антивирусов :-D Среди них и продукт ЛК.

Аутро

Вот так, имея в запасе 20 минут свободного времени можно забыть об АВ. Такой метод очень хорошо себя проявляет тогда, когда нужно протроянить определенную жертву, когда знаешь, какой у нее АВ - например друзья, родственники и т.д. ;-)
Архив с подобытными кроликами и модифицированным файлом можно найти тут:
[Ссылки доступны только зарегистрированным пользователям] : vazonez

Оригинал: [Ссылки доступны только зарегистрированным пользователям]

Видео-туториал можно скачать тут:
[Ссылки доступны только зарегистрированным пользователям]

buket
11.11.2009, 18:52
спс большое, буду разбираться*thumbs up*

Deymos
11.11.2009, 19:24
Афигенно, написанно на 5 ++ *pivo*

buket
11.11.2009, 19:34
возникла такая проблема, дошел до оллидбг и с толкнулся с нем что жму пробел пишу что надо а жму "Assemble" и в самом коде не меняется значение на то которое я ввел а остается прежним

vazonez
11.11.2009, 19:45
Указатель должен стоять на той команде, которую ты хочешь поменять. Возможно он у тебя где-то не там стоит.
Кинь скрин чтоле

Arc
11.11.2009, 20:43
разжувал в рот поожил осталось только проглотить :)
спасибо, жаль что статья паблик :)
вообщем имея эту статью, и немного времени можно сделать это от всех антивирусов:) как говорится было бы желание :)

spyster
11.11.2009, 20:58
проблема с [SD] SignDetect неоткрываетса страничка-([Ссылки доступны только зарегистрированным пользователям])

vazonez
11.11.2009, 22:10
Хз, у меня работает. Зайди через прокси.

spyster
11.11.2009, 23:03
спасибо все работает *thumbs up*

BAHEK
12.11.2009, 00:36
Залейте пожалусто SunS Joiner v2.2.4, на другой обменник, а то с эти у мну проблемы=(

travakur
12.11.2009, 02:45
Душевно за статью,будем разбераться....*pivo*
перезалил SunS Joiner v2.2.4 [Ссылки доступны только зарегистрированным пользователям]

buket
12.11.2009, 15:11
никак не проходит шаг с оллидбг, а скрин то зачем, показывать то нечего, ничего не меняется это первое и второе сохранение не идет, жму "Copy to executable" -> "All modifications" и ничего не происходит:eek:

p/s/ еще интересно как в PEID расчитываются значения

vazonez
12.11.2009, 19:53
и ничего не происходит
Попробуй другую версию Олли. 1.10 или 2.00

еще интересно как в PEID расчитываются значения
PE EXE формат. Если интересно, могу линков накидать

buket
12.11.2009, 20:14
Попробуй другую версию Олли. 1.10 или 2.00


PE EXE формат. Если интересно, могу линков накидать

с олли разобрался, можно и линков, а конкретно я имел ввиду каким образом и почему именно взял этот диапазон:)

vazonez
12.11.2009, 20:27
Чаще всего детект идет или по коду, или по данным (строки etc) - все это вкладывается в вышеописанный диапазон. Все что до - структура PE EXE - по ней детект идет редко, исправить сигну там намного сложнее, поэтому ее лучше не трогать.

buket
13.11.2009, 15:24
vazonez помоги разобраться

00404BCA > /EB 16 JMP SHORT 00404BE2
00404BCC ^|EB FC JMP SHORT 00404BCA
00404BCE |CC INT3
00404BCF |CC INT3
00404BD0 $-|FF25 BC504000 JMP DWORD PTR DS:[<&MSVCRT._except_handl ; SE handling routine
00404BD6 $-|FF25 C0504000 JMP DWORD PTR DS:[<&MSVCRT.??2@YAPAXI@Z>
00404BDC >-|FF25 98504000 JMP DWORD PTR DS:[<&MSVCRT.__CxxFrameHan
00404BE2 > \50 PUSH EAX

прогнал твоей прогой, просканил антивирем, из руч редактора получилось что авер ругается на 2 строчку в этом коде(я ничего не менял), помоги модернезировать этот участок кода, чтоб авер на него не ругался*pivo*

упс ошибся( не этот

vazonez
13.11.2009, 15:34
Залей сам бинарник куданить

buket
13.11.2009, 15:48
Залей сам бинарник куданить

стаб вот [Ссылки доступны только зарегистрированным пользователям]

а вот список файлов которые не задектили кспер и авира:

000000E8.exe
000000E9.exe
000000EA.exe
000000EB.exe
000000EC.exe
000000ED.exe
000000EF.exe
000000FD.exe
00000001.exe
0000003C.exe
0000003D.exe
0000003E.exe
0000003F.exe
0000016A.exe
0000016B.exe
0000026A.exe
0000026B.exe
0000026D.exe
0000026E.exe
0000026F.exe
00000168.exe
00000169.exe
00000214.exe
00000215.exe
00000216.exe
00000217.exe
00000268.exe
00000269.exe

по hex редактуру смотрю код, копирую его в оллидбг ищу он ничего не находит(

vazonez
13.11.2009, 16:05
Дык пеид ясно пишет, первая секция начинается с 400h. Попробуй увеличить количество байт для записи и повтори процедуру.
Я чуть попозже поковыряю.

buket
13.11.2009, 16:12
Дык пеид ясно пишет, первая секция начинается с 400h. Попробуй увеличить количество байт для записи и повтори процедуру.
Я чуть попозже поковыряю.

ну начальную я понял, а до какого адреса скан проводить?:)

я так понимаю 41F0

vazonez
13.11.2009, 16:19
До конца - размер файла в щестнадцатеричном виде

buket
13.11.2009, 16:41
да кстати зачем вирус тоталюзаеш, вся чистка насмарку уйдет, юзай такие сервисы как [Ссылки доступны только зарегистрированным пользователям] и [Ссылки доступны только зарегистрированным пользователям] (тут галочку поставить надо) ;)

vazonez
13.11.2009, 17:20
Баян. Все шлют, и эти тоже. А чистку чекал - все-равно для примера

Arc
13.11.2009, 19:38
vazonez, наверно пора отдельную ветку по обсуждению создавать, а то тут тема перерастет в хлам

buket
13.11.2009, 19:50
странно но у меня не ищет BF 68 66 40 00 33 С0 55 только по одному ищет BF, это из твоего примера, в моем случает также:(

по всякому уже перепробовал, всеравно палится:eek:

вроде нашел сигнатуру сделал как ты писал но нужные мне антиви его палят, но результат снизился с 18 до 15 аверов

vazonez
13.11.2009, 22:31
Ща посмотрю твой бинарник.

travakur
14.11.2009, 12:23
вопросик возник если говориш все шлют,как проверять?понятно что на своей системе можно но столько антивирей не поставиш.платные сервисы обман?

buket
14.11.2009, 12:32
с чего вы взяли что шлют, проверено людьми новирусфенкс не шлет, приват крипторы продают сканенные там, пока ктолибо не затупит на вирустотал не зальет он не палится аверами

vazonez
14.11.2009, 12:51
А если подумать логически - за какие деньги они покупают лицензии? А насчет платных - им же выгоднее, сливать все аверам, пусть и не часто и не всё

travakur
14.11.2009, 13:16
согласен.не кому нельзя доверять(сдают они и лаве рубят эт полюбак просто не всю инфу сливают в отличии от вирус тотала).как буду расширяться с серверами поставлю пакет антивирусов и буду сам у себя проверять,а выше сказанно что проверят на вирус тотале и запалиться))ну есть и другие спосабы например они так же посещают форумы качают софт и заносят в бд))вот так вот!вопросик еще есть я на дедик ставлю антивирус например каспера он падла там устанавливается и инет вырубает уже 2 дедика запарол кто что скажет?

vazonez
14.11.2009, 13:43
Обратись в суппорт каспера)

travakur
17.11.2009, 22:04
vazonez есть большая просьба снять видео о пользовании OllyDbg инструмента,дошол до туда и мой мозг начал кипеть))):Dбудь добр сними за мной не заржавеет.блин от авиры спрятал остался долбаный каспер:eek:

vazonez
17.11.2009, 22:23
Если от авиры спрятал, то что непонятного в этом процессе при работе с каспером?

travakur
17.11.2009, 22:59
я от авиры спрятал простым путем AVFucker по сути тоже самое что и ты написал SignDetect из отсеянных файлов выбрал тот который рабочий (ошибку не выдает) и использовал его как стаб,а с каспером так не прет....

Вводим "MOV EDI, 406668" (без кавычек) и жмем "Assemble". Сюда же вводим команду: "JMP 4041A5" - переход на адрес, по которому лежит инструкция, следующая за "MOV EDI, 406668" в оригинальном ЕХЕ - "aaa.exe".
Последний штрих - по адресу 004041A0 вбиваем команду "JMP 404380"

вот с этим у мну непонятки я как ввожу код другой он там не заменяется чет пишет.и из того адреса где он изначально,не стирается или я что то нетак делаю.щас еще раз позаморачиваюсь.если время будет удели на видео хотелось бы понять эту статью.

vazonez
18.11.2009, 02:19
Убедил, на днях запишу и залью)

brutik
18.11.2009, 03:43
travakur заходи в icq 9538432 может помогу с каспером.

pasha7
18.11.2009, 07:43
Если кому интересно вот на этом сайте[Ссылки доступны только зарегистрированным пользователям]
хороший обучаюший матерьял про OllyDbg всё со скринами и разжовано !

vazonez
18.11.2009, 22:02
Видео-туториал можно скачать тут:
[Ссылки доступны только зарегистрированным пользователям]

vyvy
20.12.2009, 17:40
А можно таким способом почистить сам стаб криптора?

vazonez
20.12.2009, 19:38
Конечно можно! Так можно чистить все, что хочешь - батнеги, скрипты и т.п.

vyvy
21.12.2009, 04:49
Тогда сразу вопрос:
Методом тыка выявлено, что четыре авера палят стаб сразу по первой же сигнатуре (E9).
[Ссылки доступны только зарегистрированным пользователям]
На что можно её заменить, чтобы в итоге стаб нормально работал? Пробовал эту сигнатуру выпиливать оттуда и ставить на другое место, а на её старом месте оставлять джамп на её новое место (но что-то мне подсказывает, что ставить джамп на джамп - плохая идея), а с неё - на следующую строчку (то есть, на 401005. Пробовал сразу весь участок кода до 401018 включительно переносить на новое место, вешать джамп на это место, а сразу после строчки С3 (на новом месте) писать джамп на 401019. Но в итоге либо файл вообще не сохранялся, либо сохранялся, переставал палится этими четырьмя аверами, но переставал при этом нормально работать.
И кстати, в SD дошёл уже до изменения 10 байт, но авира всё равно палит стаб. Это нормально вообще?

vazonez
21.12.2009, 11:41
Дык видно же сразу:
Первый джамп идет на следующую команду - значит он нифига не делает, это просто мусор. Выпиливай его - заменяй все 5 байт нопами - (90h) и будет тебе счастье)

vyvy
21.12.2009, 12:35
Блин, я идиот. Сразу и не додумался. Спасибо, вроде четыре авера теперь заткнулись и стаб работает нормально.*pivo*
И всё-таки вопрос с этими байтами: до каких пор нормально вообще увеличивать количество изменяемых байт через твой SignDetect? А то я изменяю-изменяю а авира всё равно палит все получаемые файлы. :(

vazonez
21.12.2009, 13:17
Насчет авиры ты это, не напрягайся. Она палит по размерам секций, энтропии и т.п. Ее такой чисткой не заткнуть. Как она палит стаб?

vyvy
21.12.2009, 14:22
Палит как WORM/SdBot.DGAZ
И да, если таким способом её не заткнуть, то как тогда чистить стаб? Чистят же как-то, что он снова становится FUD.

vazonez
21.12.2009, 14:39
[Ссылки доступны только зарегистрированным пользователям]

sam_123_0
03.01.2010, 03:18
Закрываем АВ и заходим в папку "SIGN_DETECT". Выбираем любой файл, например "000035A0.exe". Название файла соответствует смещению, по которому изменился байт. Этот файл нам больше не нужен, т.к. все что нужно - смещение, мы узнали.
Запускай Frhed и открывай в нем файл "aaa.exe" - наш контейнер. Топаем по адресу 000035A0...
А как быть если при открытии оригинального файла в Frhed-е не удается найти ни один из адресов, оставленных после чистки антивирусом?[Ссылки доступны только зарегистрированным пользователям] ([Ссылки доступны только зарегистрированным пользователям])

vazonez
03.01.2010, 11:43
Очень плохо видно, сделай скрин покачественнее

sam_123_0
03.01.2010, 11:52
заменил скрин в предыдущем сообщении

vazonez
03.01.2010, 12:19
Жми Ctrl+G, вводи в строку "х" (без кавычек) и нужный адрес

sam_123_0
07.01.2010, 04:01
Столкнулся с проблемой. Файл при своем запуске выплевывает dll на которую естественно ругается антивирус, какие есть способы эту dll в самом файле закриптовать? (интересует именно ручной крипт, крипторы не предлагать)

BAHEK
07.01.2010, 05:19
Столкнулся с проблемой. Файл при своем запуске выплевывает dll на которую естественно ругается антивирус, какие есть способы эту dll в самом файле закриптовать? (интересует именно ручной крипт, крипторы не предлагать)
Может проще трой сменить, чем этим геммором заниматься?

P.S.
Но сам бы непроч увидеть как такое делается)

travakur
07.01.2010, 12:09
ооо проще сменить трой либо извлечь длл и отдать на криптовку.у длл другая структура так что действительно гемор.во всяком случаее не для моих мозгов)))

vazonez
07.01.2010, 12:12
sam_123_0, кидай СЮДА ([Ссылки доступны только зарегистрированным пользователям]) троя) Попробую.

vazonez
01.02.2010, 14:39
В ближайшее время планирую написать дополнение, вторую часть так сказать.
Там будет описание чистки без знания асма, чистка длл-ок и стабов, спрятаных в ресурсах либо еще где-то. Ман будет поболее этого.

pasha7
01.02.2010, 14:44
спасибо Ждёмс с нетерпением *pivo*

sam_123_0
03.02.2010, 15:10
Почистил троя, все молчат, кроме эвристики авиры. Говорит: - файл запакован неизвестным пакером. Подскажите, как эту чертову авиру обойти

vazonez
03.02.2010, 18:59
Я уже писал про это, листай.

sam_123_0
13.02.2010, 21:16
Взял в обиход poison-a, если криптовать крипторами-все отлично, все работает. А вот если попытаться почистить файл вручную без крипторов, то он так или иначе палится. Так вот, вопрос, как почистить файл, на который ругается 100% антивирусов и попытки нахождения сигнатуры ни к чему не приводят? без использования крипторов

s007s
21.02.2010, 01:40
Вот файл
[Ссылки доступны только зарегистрированным пользователям]
пароль 123
Никак не могу понять как править через Olly
Знаю что антивирь ругается на user32.dll в хексе я нашел а вот в олли с этим трудно :(
Или я что то не так определил :( Блин... Вообще ничего не пойму :( :mad::mad::mad:

GENDELF
02.04.2010, 14:28
понадобится. Вводим 400 в левое поле [SD] - это было нижнее значение. Верхнее - это размер файла. Смотрим его в проводнике или TC (Не забудь - оно там в десятиричном виде, а в [SD] нужно вбивать в HEX. Сконвертируй в калькуляторе или в уме ;-) В нашем случае вышло "560C". Это - верхнее значение, вбивай его в правое поле.

Я это не понял как считать напиши размер файла это сколько весит файл
и напиши по подробней в этом отрезке плз*thumbs up*

leh12
06.04.2010, 13:26
В новой версии сканера Верхние значение вводится Авто..
Я так понял - можно не дожидаться пока АВ все просканирует .Достаточно появления первых 10сигнатур которые не палит АВ.т.к в статье сказано -Выбираем любой файл.?
Вот еще.. В фишед такого адреса как 001B - файла 0000001B.vbs не найти.надо байты увеличивать?(Пока вместо 0- цифры или буквы появятся.)

vazonez
06.04.2010, 15:09
В фишед такого адреса как 001B - файла 0000001B.vbs не найти.надо байты увеличивать?(Пока вместо 0- цифры или буквы появятся.)
Расшифруйте, что такое фишед?)

leh12
08.04.2010, 16:02
Расшифруйте, что такое фишед?)

Frhed-1.6.0 сори чего то зрение подсело... Но я пошел по методу из обратного.. Открыл в Frhed-1.6.0 -плохой файл и нашел адреса которые есть в просканированной папке ..Скопировал байты ( сколько было показано) теперь ненайти их в Олле верней в ollydbg
И почистите плиз Small_USB_Spreader - он весь палится даже после криптования -еще больше начинает палиться..

GENDELF
09.04.2010, 13:28
Я хотел не вписовать эти значения но там появляются 90000 или итд файлов потому что не могу понять как считать . напишите как считать . смотреть мой предыдущий пост .

vazonez
09.04.2010, 15:18
GENDELF, читай тут: [Ссылки доступны только зарегистрированным пользователям]
там проще сделать и ненужно ничего считать.

GENDELF
11.04.2010, 16:20
Спасибо . Понял . первая статья была легче чем вторая . ;)

vyvy
13.04.2010, 05:07
Такой вопрос: вставляю палящийся участок кода на свободное место, пишу джампы как в статье, но при сохранении пишет сообщение "unable to locate data in executable file" с вариантами Skip и Cancel, в итоге ничего не сохраняется. С другими стабами такого не было вроде (правда там стаб был по 20-90 кб, а не 9 как этот). Как решить проблему и нормально почистить стаб?
Стаб вот этот [Ссылки доступны только зарегистрированным пользователям]

vazonez
13.04.2010, 11:13
Да, такое бывает, я не разбирался почему. Выход есть - вбиваей код прямо в хекс-редакторе. Т.е. пишешь код в Олли - там он превращается в машинный код, находишь это место в хекс-редакторе и биваешь его туда каждый байт вручную.

vyvy
13.04.2010, 19:57
Интересный поворот. Нашёл это место в конце файла в WinHEX, где надо вручную изменить байты, но оно занято, хотя OllyDbg утверждает, что кроме NOP'ов там ничего нет. В чём может быть дело?

vazonez
14.04.2010, 00:28
Значит неправильно посчитал, стаб тво чуть позже посмотрю.

Dim_On
17.04.2010, 22:35
[Ссылки доступны только зарегистрированным пользователям]

нашел на том форуме такой вот код. И как его использовать?
org 0x100
start:

jmp virez

vir:
db "X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*"

virez:
mov cx,virez-vir
mov si,vir
mov di,start
repnz movsb
jmp start

vazonez
18.04.2010, 14:08
Что?

Louche
20.04.2010, 22:43
скажите, если таким способом почистить стаб, то антивирусы его точно не будут палить, или всё-же есть вероятность?



Добавлено через 43 минуты 4 секунды


всё, вопрос снят...обдумал весь процесс и понял)

GENDELF
23.04.2010, 14:42
Очистить получится не от всех. Ну есть способ.
Взял стаб отчистил от Каспера ( в пример ) , и он оказывается палит DrWeb но у нас уже нету чистых байтов ,то берем чищенный стаб и по той схеме расщепляем на атомы и сканируем DrWeb и вот у нас стаб невидемый Каспером и DrWeb

pasha7
23.04.2010, 17:08
GENDELF, Замути свою статью по чистке будем признательны*pivo*

Dave
23.04.2010, 20:51
Замути свою статью по чистке будем признательны
да, да, да! :spiteful:

gr3Zjke
23.04.2010, 20:54
pasha7, спасибо паша T_T

vazonez
23.04.2010, 22:14
Если мы будем развивать чистку как ремесло, то можно уподобицца хакхаунду и создать раздел со статьями, видео и тулзами.

ihtr3
29.04.2010, 11:14
Видео-туториал можно скачать тут:
[Ссылки доступны только зарегистрированным пользователям] перезалейте пожалуйста на depositfiles не могу скачать:)

pasha7
29.04.2010, 19:19
перезалейте пожалуйста на depositfiles не могу скачать

:o ты прикалываешся над нами чтоли ? Скопировал линьк и даже незнаеш что там ! загляни на то он и multiupload

Deymos
29.04.2010, 20:38
да этот человек типо бота... можешь не обращать внимания....:thumbdown: он вообще не о чем:puke:

sanek1804
01.05.2010, 23:57
чота не выходит почистьть.Все нормально до того места пока дело доходит до olly

GENDELF
02.05.2010, 15:29
чота не выходит почистьть.Все нормально до того места пока дело доходит до olly

Ты ко мне обратись , знаю способ по проще*pivo*

pasha7
02.05.2010, 15:46
знаю способ по проще

GENDELF, Всем интересен способ попроще.

vazonez
03.05.2010, 13:50
Самый простой и 99% рабочий способ чистки с помощью SignDetect:

1) Ищешь сигну в первой секции и только там - фича заточена только под нее.
2) Выбираешь файл, жмешь "AutoClean" - открываеццо окно.
3) В нем вбивай смещение, которое нашлось. Т.е. имя любого из файлов, которые остались после чистки антивирусом, вводить только первые 8 символов имени файла - смещение сигнатуры
4) Выбирай тип чистки - запись в конец или добавление секции. Если при одном файл остался нерабочим - пробуй другой.
5) Жми "Clean" - рядом с исходным файлом создастся очищенный файл.

Pinch man
11.05.2010, 19:03
Интересный способ, но почему-то дохожу до "природного отбора" и аваст палит 100% модов, независимо от количества изменяемых байт, в чем прикол??? и долго очень... жду советов:pray:

vadoss
20.05.2010, 01:09
в моем случае авира палит 100% модов.... в этом случае как я понимаю этот способ не подходит?

vazonez
20.05.2010, 12:24
Значит детект идет не по сигнатурам, а по вторичным признакам.

Pinch man
23.05.2010, 15:08
Значит детект идет не по сигнатурам, а по вторичным признакам.
А как отрубить детект по вторичным признакам? я так понимаю нечто должно быть в настройках антивируса, не обнаружил таких настроек...:wallbash:

An0nim
07.06.2010, 20:44
Большое спасибо,на досуге обязательно почитаю,все так красочно и подробно написанно,хоть бы хайд поставил чтоли,а то ведь щас все друг друга закидают ;)

vadoss
27.06.2010, 13:29
А по каким вторичным признакам он может детектировать? Например контрольная сумма файла? Что еще может быть?

vazonez
27.06.2010, 15:44
# Параметры секций - размер, аттрибуты и т.п.
# Энтропия файла/секций
# Ресурсы - могут палить по какому-либо ресурсу

Life
04.07.2010, 22:16
да кстати зачем вирус тоталюзаеш, вся чистка насмарку уйдет, юзай такие сервисы как [Ссылки доступны только зарегистрированным пользователям] и [Ссылки доступны только зарегистрированным пользователям] (тут галочку поставить надо)

olegteror
04.07.2010, 22:44
You can buy monthly subscription for 50 USD. By buying subscription you help the project to be free again. For sales inquiries and orders, please contact
сорри за флуд НО ЖЕСТОКО!!! У того же Скан4йо 25 вмз акк.

An0nim
04.07.2010, 22:59
да кстати зачем вирус тоталюзаеш, вся чистка насмарку уйдет, юзай такие сервисы как [Ссылки доступны только зарегистрированным пользователям] и [Ссылки доступны только зарегистрированным пользователям] (тут галочку поставить надо)

А кто тут вирустотал юзает???Все давно на ноувирусфанкс сидят)

travakur
05.07.2010, 01:04
да кстати зачем вирус тоталюзаеш, вся чистка насмарку уйдет, юзай такие сервисы как [Ссылки доступны только зарегистрированным пользователям] и [Ссылки доступны только зарегистрированным пользователям] (тут галочку поставить надо)

:) не удержался
а теперь объясни мне какая разница между вирустоталом и virus-trap.org scanner.novirusthanks.org?
про галочку вобще можно страшные истории сочинять.

наивность........ + кто то где то сказал что то

dum_forever
31.07.2010, 19:03
Архив с подобытными кроликами и модифицированным файлом можно найти тут:
[Ссылки доступны только зарегистрированным пользователям]

Невозможно найти удалённый сервер

vazonez
31.07.2010, 19:19
Я забил на старый домен. Исправил в первом посте линки.

VirusVFV
17.09.2010, 14:53
Правильно ли я понимаю. что если антивирус удаляет все 100% файлов, созданных signdetect, то это означает, что стаб содержит как минимум 2 сигнатуры.
Как в этом случаем можно поступить ?

master008
17.09.2010, 15:23
Чистить другой стаб

vazonez
17.09.2010, 16:02
VirusVFV
Какой был выбран диапазон в SD? Кодовая секция?

VirusVFV
17.09.2010, 16:34
vazonez,
И кодовая секция и секция ресурсов и вообще полностью весь диапазон - всё равно ни одного чистого файла.

master008
17.09.2010, 18:15
VirusVFV, А скинь ка отчёт проверки проверки данного стаба с novirusthanks.ru(или то, как палит антивирь от которого те надо почистить)
Такое ощущение что он палят его по другим признакам, или по сигне например из RICH или по каким то специфичным полям из pe заголовка.

Mastadont
19.09.2010, 15:47
у меня не всегда работает
Бывает попадется норм.А иногда парю весь день и то блин одни ошибки вылетают

zcryptor
20.09.2010, 11:26
да кстати зачем вирус тоталюзаеш, вся чистка насмарку уйдет, юзай такие сервисы как [Ссылки доступны только зарегистрированным пользователям] и [Ссылки доступны только зарегистрированным пользователям] (тут галочку поставить надо)
virus-trap платный сейчас, 50$/мес.