Прячем Зло или Чистим АВ-сигнатуры

Интро

Надюсь, тебе известно, как в АВ-программах организован поиск зловредов: в антивирусе есть база данных, в которой собраны сигнатуры вирусов - уникальные куски кода/данных. Антивирус ищет в файле эти куски, и если находит - прощай свежий криптор или троян.
В далекие времена, когда дети сидели за партами, а не писали вирусы, сигнатуры можно было выдрать из аверских баз, найти в малваре этот кусок, поменять - и опа, никто нас не видит. Но с тех пор, Евгений поумнел (или умных нанял), и начал хорошенько прятать сигнатуры. Доковыряться до них - задача не из легких, поэтому мы выберем путь полегче - найдем их самостоятельно, не копаясь в базах продуктов мозговой жизнедеятельности аверов.
Суть такого поиска сигнатур - попробовать менять каждый байт вируса, и если после такого он станет чистым в глазах АВ - мы нашли ее! У такой методы есть большое количество минусов - скорость поиска, возможность вообще ничего стоящего не получить и т.п. Но пробовать все-равно стоит!

"Сестра! Скальпель и кувалду!"

Для примера, от настырных глаз АВ будем прятать EXE - контейнер джоинера SunS Joiner. Склеивать будем 2 маленькие свежескомпилированые мирные проги - обе создают по обычному окну. Они есть в архиве к статье (см. внизу).
Софт, который будет использоваться:
1) Free Hex Editor ([Ссылки доступны только зарегистрированным пользователям]) - простенький хекс-редактор. Можно использовать тот-же WinHex.
2) OllyDbg v1.10 ([Ссылки доступны только зарегистрированным пользователям]) - отладчик, нужен для просмотра и редактирования нужной сигнатуры.
3) SunS Joiner v2.2.4 ([Ссылки доступны только зарегистрированным пользователям]) - джоинер, которым будем клеить файлы. Жутко палится, но нам это и нужно.
4) [SD] SignDetect ([Ссылки доступны только зарегистрированным пользователям]) - пропиарюсь немного :-) Этой тулзой будем искать сигнатуру.
5) KIS7 ([Ссылки доступны только зарегистрированным пользователям]) - собственно, от него и будем прятать файл.
6) PEiD v0.95 ([Ссылки доступны только зарегистрированным пользователям]) - для скана контейнера с целью сильно ускорить весь процесс очистки (см. ниже)

"На старт! Внимание! Марш!"

Открывай джоинер:

[Ссылки доступны только зарегистрированным пользователям]

Жми сразу "Без иконки". Для теста, лучше иконку не ставить, т.к. размер ЕХЕ на выходе будет меньше, соотвественно и сигнатуру искать быстрее будет. Добавляем наши тестовые файлы "poasm1k.exe" и "simple.exe". Нажимай на "Склеить" - сохраняй контейнер под любым именем, например "aaa.exe". Дальше клей нам не понадобится, поэтому закрывай его.
Следующий инструмент в очереди - SignDetect. Немного о нем: суть его работы вот в чем - берет наш контейнер, и по очереди меняет 1 байт (опционально, можно увеличить) файла и сохраняет такой "мод" в отдельной папке. После окончания работы в этой папке будет большое количество таких вот "модов". На эту папку нужно натравить АВ, который чекнет и удалит все палящиеся файлы. Файлы, что останутся в ней после проверки - с очищенной сигнатурой.
Запускай тулзу:

[Ссылки доступны только зарегистрированным пользователям]

Жми на "..." - выбирай контейнер "aaa.exe". Следующий шаг - определиться с настройками проги.
Опция "Скан файла" предназначена для выбора диапазона байт в файле, которые мы будем менять. Если контейнер большой (более 100 КБ) - процесс записи тулзой файлов будет длится долго, точно как и скан АВером всех файлов и очистка их же. Поэтому, если есть желание, время и фри спэйс на харде, то выбирай "Весь файл". В нашем случае выбираем "Диапазон (HEX)". Нижняя и верхняя границы диапазона - левое и правое поля соответственно. Для удачного в плане скорости выбора следует правильно выбрать их. Нижнее поле - чаще всего надо использовать смещение начала первой секции контейнера. Для этого открываем PEiD, выбираем в нем наш контейнер, и жмем на кнопку просмотра секция файла:

[Ссылки доступны только зарегистрированным пользователям]

Откроется окно с аттрибутами секций файла. Нам нужно узнать смещение первой секции EXE. Вот оно:

[Ссылки доступны только зарегистрированным пользователям]

Т.е. нужно выбирать самое наименьшее значение столбца "R. Offset". В данном случае оно равно 400h. На этом PEiD нам отслужил - можно закрывать, больше не понадобится. Вводим 400 в левое поле [SD] - это было нижнее значение. Верхнее - это размер файла. Смотрим его в проводнике или TC (Не забудь - оно там в десятиричном виде, а в [SD] нужно вбивать в HEX. Сконвертируй в калькуляторе или в уме ;-) В нашем случае вышло "560C". Это - верхнее значение, вбивай его в правое поле.
Следующая опция - "Количество байт для записи" - думаю назначение понятно. По умолчанию стоит "1". Если после окончания работы тулзы, все созданные файлы палятся - следует увеличить значение и повторить работу с тулзой.
Перед началом работы тулзы, лучше вырубить защиту АВ, т.к. она начнет буйно реагировать на работу с зараженным файлом. Жмем кнопку "Старт!" и ожидаем окончания работы, о чем нам скажет сообщение - "Готово!". На этом работа с тулзой закончена - можно ее закрывать.

Природный отбор

После окончания работы с [SD], рядом с программой создастся папка "SIGN_DETECT", в которой будут измененные EXEшники нашего контейнера. Натравляем АВ на эту папку (Важно! В антивирусе нужно включить опцию - "удалять зараженные". С ней будет намного удобнее - те файлы, которые остались палевными удалятся, а нужные останутся в папке) и ждем конца проверки. После окончания видим такуюю картину:

[Ссылки доступны только зарегистрированным пользователям]

Всего файлов в папке - 21448, а зараженных - 20876. Т.е. очищенных - 572 файла! Это отличный результат. Теперь, чтобы эти файлы не искать, дадим антивирусу удалить грязные файлы. Опять ждем, пока удалится ~20к файлов. После этого в папке остались только нужные нам файлы.

Сама чистка

Закрываем АВ и заходим в папку "SIGN_DETECT". Выбираем любой файл, например "000035A0.exe". Название файла соответствует смещению, по которому изменился байт. Этот файл нам больше не нужен, т.к. все что нужно - смещение, мы узнали.
Запускай Frhed и открывай в нем файл "aaa.exe" - наш контейнер. Топаем по адресу 000035A0 и видим такую картину:

[Ссылки доступны только зарегистрированным пользователям]

Запоминаем несколько байт по этому адресу, например 8 штук - (BF 68 66 40 00 33 С0 55). Чем больше байт, тем лучше - но в нашем случае восьми будет достаточно. Закрывай Frhed - он больше не понадобится.
Последний инструмент, который будем использовать - OllyDbg. Запускай ее, и открывай в нем наш "aaa.exe".
Откроется окно CPU с кодом программы. Нам нужно найти в этом коде ту последовательность байт, при изменении которой файл перестает палится. Для этого откываем окно "Binary Search" - Ctrl+B, вводи в нижнее поле последовательность байт BF 68 66 40 00 33 С0 55, чтобы это выглядело так:

[Ссылки доступны только зарегистрированным пользователям]

Жми "Enter" - поиск закончится и указатель в окне CPU станет на найденную инструкцию:

[Ссылки доступны только зарегистрированным пользователям]

Поиск остановился на адресе 004041A0, на строке "MOV EDI, 406668" - помещение в регистр EDI значения 406668h. Учитывая большое количество отсеяных файлов (572), скорее всего эта строка - только часть сигнатуры, т.е. если мы уберем/перенесем ее - АВ заткнется. Если ее просто изменить на случайное значение - ЕХЕ перестанет работать, поэтому нужно изменить байты так, чтобы код не потерял работоспособности. Самый простой способ - перенести эту команду в неиспользуемое место. Иллюстрация:

[Ссылки доступны только зарегистрированным пользователям]

Т.е. на место "MOV EDI, 406668" ставим прыжок на неиспользуемое пространство, там вставляем: "MOV EDI, 406668" и переход обратно.
Чтобы это осуществить, нужно найти неиспользуемое место в коде. Листаем 2 экрана вниз в окне CPU и видим много нулей, начиная с адреса 404379. Чтобы было удобнее, возьмем круглый адрес - 404380. Ставим на него указатель, жмем пробел - откроется окно для ввода инструкции. Вводим "MOV EDI, 406668" (без кавычек) и жмем "Assemble". Сюда же вводим команду: "JMP 4041A5" - переход на адрес, по которому лежит инструкция, следующая за "MOV EDI, 406668" в оригинальном ЕХЕ - "aaa.exe".
Последний штрих - по адресу 004041A0 вбиваем команду "JMP 404380". Сохраняем модифицированный ЕХЕ: в контекстном меню окна CPU выбираем "Copy to executable" -> "All modifications" -> "Copy all". В контекстном меню появившегося окна выбираем "Save file" и сохраняем под именем "aaa2.exe".
Готово! Закрывай OllyDbg и запускай "aaa2.exe". Если все делалось правильно - должно появится 2 окна, а значит патч сработал и мы все сделали правильно.

Проверка на вшивость

Каспер удачно заткнулся - можешь проверить на своем. Но есть более интересный результат:

Файл "aaa.exe", который мы не трогали, на VT:
35/41
[Ссылки доступны только зарегистрированным пользователям] 0a6a64df0b47d2-1257888873

Файл "aaa2.exe", наша версия:
19/41
[Ссылки доступны только зарегистрированным пользователям] 30c43e5da9ec9a-1257938117

Очень отчетливо видно, как заткнулись 16 антивирусов :-D Среди них и продукт ЛК.

Аутро

Вот так, имея в запасе 20 минут свободного времени можно забыть об АВ. Такой метод очень хорошо себя проявляет тогда, когда нужно протроянить определенную жертву, когда знаешь, какой у нее АВ - например друзья, родственники и т.д. ;-)
Архив с подобытными кроликами и модифицированным файлом можно найти тут:
[Ссылки доступны только зарегистрированным пользователям] : vazonez

Оригинал: [Ссылки доступны только зарегистрированным пользователям]

Видео-туториал можно скачать тут:
[Ссылки доступны только зарегистрированным пользователям]

спс большое, буду разбираться*thumbs up*

Афигенно, написанно на 5 ++ *pivo*

возникла такая проблема, дошел до оллидбг и с толкнулся с нем что жму пробел пишу что надо а жму "Assemble" и в самом коде не меняется значение на то которое я ввел а остается прежним

Указатель должен стоять на той команде, которую ты хочешь поменять. Возможно он у тебя где-то не там стоит.
Кинь скрин чтоле

разжувал в рот поожил осталось только проглотить :)
спасибо, жаль что статья паблик :)
вообщем имея эту статью, и немного времени можно сделать это от всех антивирусов:) как говорится было бы желание :)

проблема с [SD] SignDetect неоткрываетса страничка-([Ссылки доступны только зарегистрированным пользователям])

Хз, у меня работает. Зайди через прокси.

спасибо все работает *thumbs up*

Залейте пожалусто SunS Joiner v2.2.4, на другой обменник, а то с эти у мну проблемы=(

Душевно за статью,будем разбераться....*pivo*
перезалил SunS Joiner v2.2.4 [Ссылки доступны только зарегистрированным пользователям]

никак не проходит шаг с оллидбг, а скрин то зачем, показывать то нечего, ничего не меняется это первое и второе сохранение не идет, жму "Copy to executable" -> "All modifications" и ничего не происходит:eek:

p/s/ еще интересно как в PEID расчитываются значения

и ничего не происходит
Попробуй другую версию Олли. 1.10 или 2.00

еще интересно как в PEID расчитываются значения
PE EXE формат. Если интересно, могу линков накидать

Попробуй другую версию Олли. 1.10 или 2.00


PE EXE формат. Если интересно, могу линков накидать

с олли разобрался, можно и линков, а конкретно я имел ввиду каким образом и почему именно взял этот диапазон:)

Чаще всего детект идет или по коду, или по данным (строки etc) - все это вкладывается в вышеописанный диапазон. Все что до - структура PE EXE - по ней детект идет редко, исправить сигну там намного сложнее, поэтому ее лучше не трогать.

vazonez помоги разобраться

00404BCA > /EB 16 JMP SHORT 00404BE2
00404BCC ^|EB FC JMP SHORT 00404BCA
00404BCE |CC INT3
00404BCF |CC INT3
00404BD0 $-|FF25 BC504000 JMP DWORD PTR DS:[<&MSVCRT._except_handl ; SE handling routine
00404BD6 $-|FF25 C0504000 JMP DWORD PTR DS:[<&MSVCRT.??2@YAPAXI@Z>
00404BDC >-|FF25 98504000 JMP DWORD PTR DS:[<&MSVCRT.__CxxFrameHan
00404BE2 > \50 PUSH EAX

прогнал твоей прогой, просканил антивирем, из руч редактора получилось что авер ругается на 2 строчку в этом коде(я ничего не менял), помоги модернезировать этот участок кода, чтоб авер на него не ругался*pivo*

упс ошибся( не этот

Залей сам бинарник куданить

Залей сам бинарник куданить

стаб вот [Ссылки доступны только зарегистрированным пользователям]

а вот список файлов которые не задектили кспер и авира:

000000E8.exe
000000E9.exe
000000EA.exe
000000EB.exe
000000EC.exe
000000ED.exe
000000EF.exe
000000FD.exe
00000001.exe
0000003C.exe
0000003D.exe
0000003E.exe
0000003F.exe
0000016A.exe
0000016B.exe
0000026A.exe
0000026B.exe
0000026D.exe
0000026E.exe
0000026F.exe
00000168.exe
00000169.exe
00000214.exe
00000215.exe
00000216.exe
00000217.exe
00000268.exe
00000269.exe

по hex редактуру смотрю код, копирую его в оллидбг ищу он ничего не находит(

Дык пеид ясно пишет, первая секция начинается с 400h. Попробуй увеличить количество байт для записи и повтори процедуру.
Я чуть попозже поковыряю.

Дык пеид ясно пишет, первая секция начинается с 400h. Попробуй увеличить количество байт для записи и повтори процедуру.
Я чуть попозже поковыряю.

ну начальную я понял, а до какого адреса скан проводить?:)

я так понимаю 41F0

До конца - размер файла в щестнадцатеричном виде

да кстати зачем вирус тоталюзаеш, вся чистка насмарку уйдет, юзай такие сервисы как [Ссылки доступны только зарегистрированным пользователям] и [Ссылки доступны только зарегистрированным пользователям] (тут галочку поставить надо) ;)

Баян. Все шлют, и эти тоже. А чистку чекал - все-равно для примера

vazonez, наверно пора отдельную ветку по обсуждению создавать, а то тут тема перерастет в хлам

странно но у меня не ищет BF 68 66 40 00 33 С0 55 только по одному ищет BF, это из твоего примера, в моем случает также:(

по всякому уже перепробовал, всеравно палится:eek:

вроде нашел сигнатуру сделал как ты писал но нужные мне антиви его палят, но результат снизился с 18 до 15 аверов

Ща посмотрю твой бинарник.

вопросик возник если говориш все шлют,как проверять?понятно что на своей системе можно но столько антивирей не поставиш.платные сервисы обман?

с чего вы взяли что шлют, проверено людьми новирусфенкс не шлет, приват крипторы продают сканенные там, пока ктолибо не затупит на вирустотал не зальет он не палится аверами

А если подумать логически - за какие деньги они покупают лицензии? А насчет платных - им же выгоднее, сливать все аверам, пусть и не часто и не всё

согласен.не кому нельзя доверять(сдают они и лаве рубят эт полюбак просто не всю инфу сливают в отличии от вирус тотала).как буду расширяться с серверами поставлю пакет антивирусов и буду сам у себя проверять,а выше сказанно что проверят на вирус тотале и запалиться))ну есть и другие спосабы например они так же посещают форумы качают софт и заносят в бд))вот так вот!вопросик еще есть я на дедик ставлю антивирус например каспера он падла там устанавливается и инет вырубает уже 2 дедика запарол кто что скажет?

Обратись в суппорт каспера)

vazonez есть большая просьба снять видео о пользовании OllyDbg инструмента,дошол до туда и мой мозг начал кипеть))):Dбудь добр сними за мной не заржавеет.блин от авиры спрятал остался долбаный каспер:eek:

Если от авиры спрятал, то что непонятного в этом процессе при работе с каспером?

я от авиры спрятал простым путем AVFucker по сути тоже самое что и ты написал SignDetect из отсеянных файлов выбрал тот который рабочий (ошибку не выдает) и использовал его как стаб,а с каспером так не прет....

Вводим "MOV EDI, 406668" (без кавычек) и жмем "Assemble". Сюда же вводим команду: "JMP 4041A5" - переход на адрес, по которому лежит инструкция, следующая за "MOV EDI, 406668" в оригинальном ЕХЕ - "aaa.exe".
Последний штрих - по адресу 004041A0 вбиваем команду "JMP 404380"

вот с этим у мну непонятки я как ввожу код другой он там не заменяется чет пишет.и из того адреса где он изначально,не стирается или я что то нетак делаю.щас еще раз позаморачиваюсь.если время будет удели на видео хотелось бы понять эту статью.

Убедил, на днях запишу и залью)

travakur заходи в icq 9538432 может помогу с каспером.

Если кому интересно вот на этом сайте[Ссылки доступны только зарегистрированным пользователям]
хороший обучаюший матерьял про OllyDbg всё со скринами и разжовано !

Видео-туториал можно скачать тут:
[Ссылки доступны только зарегистрированным пользователям]

А можно таким способом почистить сам стаб криптора?

Конечно можно! Так можно чистить все, что хочешь - батнеги, скрипты и т.п.

Тогда сразу вопрос:
Методом тыка выявлено, что четыре авера палят стаб сразу по первой же сигнатуре (E9).
[Ссылки доступны только зарегистрированным пользователям]
На что можно её заменить, чтобы в итоге стаб нормально работал? Пробовал эту сигнатуру выпиливать оттуда и ставить на другое место, а на её старом месте оставлять джамп на её новое место (но что-то мне подсказывает, что ставить джамп на джамп - плохая идея), а с неё - на следующую строчку (то есть, на 401005. Пробовал сразу весь участок кода до 401018 включительно переносить на новое место, вешать джамп на это место, а сразу после строчки С3 (на новом месте) писать джамп на 401019. Но в итоге либо файл вообще не сохранялся, либо сохранялся, переставал палится этими четырьмя аверами, но переставал при этом нормально работать.
И кстати, в SD дошёл уже до изменения 10 байт, но авира всё равно палит стаб. Это нормально вообще?

Дык видно же сразу:
Первый джамп идет на следующую команду - значит он нифига не делает, это просто мусор. Выпиливай его - заменяй все 5 байт нопами - (90h) и будет тебе счастье)

Блин, я идиот. Сразу и не додумался. Спасибо, вроде четыре авера теперь заткнулись и стаб работает нормально.*pivo*
И всё-таки вопрос с этими байтами: до каких пор нормально вообще увеличивать количество изменяемых байт через твой SignDetect? А то я изменяю-изменяю а авира всё равно палит все получаемые файлы. :(

Насчет авиры ты это, не напрягайся. Она палит по размерам секций, энтропии и т.п. Ее такой чисткой не заткнуть. Как она палит стаб?

Палит как WORM/SdBot.DGAZ
И да, если таким способом её не заткнуть, то как тогда чистить стаб? Чистят же как-то, что он снова становится FUD.

[Ссылки доступны только зарегистрированным пользователям]

Закрываем АВ и заходим в папку "SIGN_DETECT". Выбираем любой файл, например "000035A0.exe". Название файла соответствует смещению, по которому изменился байт. Этот файл нам больше не нужен, т.к. все что нужно - смещение, мы узнали.
Запускай Frhed и открывай в нем файл "aaa.exe" - наш контейнер. Топаем по адресу 000035A0...
А как быть если при открытии оригинального файла в Frhed-е не удается найти ни один из адресов, оставленных после чистки антивирусом?[Ссылки доступны только зарегистрированным пользователям] ([Ссылки доступны только зарегистрированным пользователям])

Очень плохо видно, сделай скрин покачественнее

заменил скрин в предыдущем сообщении

Жми Ctrl+G, вводи в строку "х" (без кавычек) и нужный адрес

Столкнулся с проблемой. Файл при своем запуске выплевывает dll на которую естественно ругается антивирус, какие есть способы эту dll в самом файле закриптовать? (интересует именно ручной крипт, крипторы не предлагать)

Столкнулся с проблемой. Файл при своем запуске выплевывает dll на которую естественно ругается антивирус, какие есть способы эту dll в самом файле закриптовать? (интересует именно ручной крипт, крипторы не предлагать)
Может проще трой сменить, чем этим геммором заниматься?

P.S.
Но сам бы непроч увидеть как такое делается)

ооо проще сменить трой либо извлечь длл и отдать на криптовку.у длл другая структура так что действительно гемор.во всяком случаее не для моих мозгов)))

sam_123_0, кидай СЮДА ([Ссылки доступны только зарегистрированным пользователям]) троя) Попробую.

В ближайшее время планирую написать дополнение, вторую часть так сказать.
Там будет описание чистки без знания асма, чистка длл-ок и стабов, спрятаных в ресурсах либо еще где-то. Ман будет поболее этого.

спасибо Ждёмс с нетерпением *pivo*

Почистил троя, все молчат, кроме эвристики авиры. Говорит: - файл запакован неизвестным пакером. Подскажите, как эту чертову авиру обойти

Я уже писал про это, листай.

Взял в обиход poison-a, если криптовать крипторами-все отлично, все работает. А вот если попытаться почистить файл вручную без крипторов, то он так или иначе палится. Так вот, вопрос, как почистить файл, на который ругается 100% антивирусов и попытки нахождения сигнатуры ни к чему не приводят? без использования крипторов

Вот файл
[Ссылки доступны только зарегистрированным пользователям]
пароль 123
Никак не могу понять как править через Olly
Знаю что антивирь ругается на user32.dll в хексе я нашел а вот в олли с этим трудно :(
Или я что то не так определил :( Блин... Вообще ничего не пойму :( :mad::mad::mad:

понадобится. Вводим 400 в левое поле [SD] - это было нижнее значение. Верхнее - это размер файла. Смотрим его в проводнике или TC (Не забудь - оно там в десятиричном виде, а в [SD] нужно вбивать в HEX. Сконвертируй в калькуляторе или в уме ;-) В нашем случае вышло "560C". Это - верхнее значение, вбивай его в правое поле.

Я это не понял как считать напиши размер файла это сколько весит файл
и напиши по подробней в этом отрезке плз*thumbs up*

В новой версии сканера Верхние значение вводится Авто..
Я так понял - можно не дожидаться пока АВ все просканирует .Достаточно появления первых 10сигнатур которые не палит АВ.т.к в статье сказано -Выбираем любой файл.?
Вот еще.. В фишед такого адреса как 001B - файла 0000001B.vbs не найти.надо байты увеличивать?(Пока вместо 0- цифры или буквы появятся.)

В фишед такого адреса как 001B - файла 0000001B.vbs не найти.надо байты увеличивать?(Пока вместо 0- цифры или буквы появятся.)
Расшифруйте, что такое фишед?)

Расшифруйте, что такое фишед?)

Frhed-1.6.0 сори чего то зрение подсело... Но я пошел по методу из обратного.. Открыл в Frhed-1.6.0 -плохой файл и нашел адреса которые есть в просканированной папке ..Скопировал байты ( сколько было показано) теперь ненайти их в Олле верней в ollydbg
И почистите плиз Small_USB_Spreader - он весь палится даже после криптования -еще больше начинает палиться..

Я хотел не вписовать эти значения но там появляются 90000 или итд файлов потому что не могу понять как считать . напишите как считать . смотреть мой предыдущий пост .

GENDELF, читай тут: [Ссылки доступны только зарегистрированным пользователям]
там проще сделать и ненужно ничего считать.

Спасибо . Понял . первая статья была легче чем вторая . ;)

Такой вопрос: вставляю палящийся участок кода на свободное место, пишу джампы как в статье, но при сохранении пишет сообщение "unable to locate data in executable file" с вариантами Skip и Cancel, в итоге ничего не сохраняется. С другими стабами такого не было вроде (правда там стаб был по 20-90 кб, а не 9 как этот). Как решить проблему и нормально почистить стаб?
Стаб вот этот [Ссылки доступны только зарегистрированным пользователям]

Да, такое бывает, я не разбирался почему. Выход есть - вбиваей код прямо в хекс-редакторе. Т.е. пишешь код в Олли - там он превращается в машинный код, находишь это место в хекс-редакторе и биваешь его туда каждый байт вручную.

Интересный поворот. Нашёл это место в конце файла в WinHEX, где надо вручную изменить байты, но оно занято, хотя OllyDbg утверждает, что кроме NOP'ов там ничего нет. В чём может быть дело?

Значит неправильно посчитал, стаб тво чуть позже посмотрю.

[Ссылки доступны только зарегистрированным пользователям]

нашел на том форуме такой вот код. И как его использовать?
org 0x100
start:

jmp virez

vir:
db "X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*"

virez:
mov cx,virez-vir
mov si,vir
mov di,start
repnz movsb
jmp start

Что?

скажите, если таким способом почистить стаб, то антивирусы его точно не будут палить, или всё-же есть вероятность?



Добавлено через 43 минуты 4 секунды


всё, вопрос снят...обдумал весь процесс и понял)

Очистить получится не от всех. Ну есть способ.
Взял стаб отчистил от Каспера ( в пример ) , и он оказывается палит DrWeb но у нас уже нету чистых байтов ,то берем чищенный стаб и по той схеме расщепляем на атомы и сканируем DrWeb и вот у нас стаб невидемый Каспером и DrWeb

GENDELF, Замути свою статью по чистке будем признательны*pivo*

Замути свою статью по чистке будем признательны
да, да, да! :spiteful:

pasha7, спасибо паша T_T

Если мы будем развивать чистку как ремесло, то можно уподобицца хакхаунду и создать раздел со статьями, видео и тулзами.

Видео-туториал можно скачать тут:
[Ссылки доступны только зарегистрированным пользователям] перезалейте пожалуйста на depositfiles не могу скачать:)

перезалейте пожалуйста на depositfiles не могу скачать

:o ты прикалываешся над нами чтоли ? Скопировал линьк и даже незнаеш что там ! загляни на то он и multiupload

да этот человек типо бота... можешь не обращать внимания....:thumbdown: он вообще не о чем:puke:

чота не выходит почистьть.Все нормально до того места пока дело доходит до olly

чота не выходит почистьть.Все нормально до того места пока дело доходит до olly

Ты ко мне обратись , знаю способ по проще*pivo*

знаю способ по проще

GENDELF, Всем интересен способ попроще.

Самый простой и 99% рабочий способ чистки с помощью SignDetect:

1) Ищешь сигну в первой секции и только там - фича заточена только под нее.
2) Выбираешь файл, жмешь "AutoClean" - открываеццо окно.
3) В нем вбивай смещение, которое нашлось. Т.е. имя любого из файлов, которые остались после чистки антивирусом, вводить только первые 8 символов имени файла - смещение сигнатуры
4) Выбирай тип чистки - запись в конец или добавление секции. Если при одном файл остался нерабочим - пробуй другой.
5) Жми "Clean" - рядом с исходным файлом создастся очищенный файл.

Интересный способ, но почему-то дохожу до "природного отбора" и аваст палит 100% модов, независимо от количества изменяемых байт, в чем прикол??? и долго очень... жду советов:pray:

в моем случае авира палит 100% модов.... в этом случае как я понимаю этот способ не подходит?

Значит детект идет не по сигнатурам, а по вторичным признакам.

Значит детект идет не по сигнатурам, а по вторичным признакам.
А как отрубить детект по вторичным признакам? я так понимаю нечто должно быть в настройках антивируса, не обнаружил таких настроек...:wallbash:

Большое спасибо,на досуге обязательно почитаю,все так красочно и подробно написанно,хоть бы хайд поставил чтоли,а то ведь щас все друг друга закидают ;)

А по каким вторичным признакам он может детектировать? Например контрольная сумма файла? Что еще может быть?

# Параметры секций - размер, аттрибуты и т.п.
# Энтропия файла/секций
# Ресурсы - могут палить по какому-либо ресурсу

да кстати зачем вирус тоталюзаеш, вся чистка насмарку уйдет, юзай такие сервисы как [Ссылки доступны только зарегистрированным пользователям] и [Ссылки доступны только зарегистрированным пользователям] (тут галочку поставить надо)

You can buy monthly subscription for 50 USD. By buying subscription you help the project to be free again. For sales inquiries and orders, please contact
сорри за флуд НО ЖЕСТОКО!!! У того же Скан4йо 25 вмз акк.

да кстати зачем вирус тоталюзаеш, вся чистка насмарку уйдет, юзай такие сервисы как [Ссылки доступны только зарегистрированным пользователям] и [Ссылки доступны только зарегистрированным пользователям] (тут галочку поставить надо)

А кто тут вирустотал юзает???Все давно на ноувирусфанкс сидят)

да кстати зачем вирус тоталюзаеш, вся чистка насмарку уйдет, юзай такие сервисы как [Ссылки доступны только зарегистрированным пользователям] и [Ссылки доступны только зарегистрированным пользователям] (тут галочку поставить надо)

:) не удержался
а теперь объясни мне какая разница между вирустоталом и virus-trap.org scanner.novirusthanks.org?
про галочку вобще можно страшные истории сочинять.

наивность........ + кто то где то сказал что то

Архив с подобытными кроликами и модифицированным файлом можно найти тут:
[Ссылки доступны только зарегистрированным пользователям]

Невозможно найти удалённый сервер

Я забил на старый домен. Исправил в первом посте линки.

Правильно ли я понимаю. что если антивирус удаляет все 100% файлов, созданных signdetect, то это означает, что стаб содержит как минимум 2 сигнатуры.
Как в этом случаем можно поступить ?

Чистить другой стаб

VirusVFV
Какой был выбран диапазон в SD? Кодовая секция?

vazonez,
И кодовая секция и секция ресурсов и вообще полностью весь диапазон - всё равно ни одного чистого файла.

VirusVFV, А скинь ка отчёт проверки проверки данного стаба с novirusthanks.ru(или то, как палит антивирь от которого те надо почистить)
Такое ощущение что он палят его по другим признакам, или по сигне например из RICH или по каким то специфичным полям из pe заголовка.

у меня не всегда работает
Бывает попадется норм.А иногда парю весь день и то блин одни ошибки вылетают

да кстати зачем вирус тоталюзаеш, вся чистка насмарку уйдет, юзай такие сервисы как [Ссылки доступны только зарегистрированным пользователям] и [Ссылки доступны только зарегистрированным пользователям] (тут галочку поставить надо)
virus-trap платный сейчас, 50$/мес.