Русский / Russian English / Английский

Сейчас на форуме: rmn (+3 невидимых)
 · Начало · Статистика · Регистрация · Поиск · ПРАВИЛА ФОРУМА · Язык · RSS ·

 eXeL@B —› Основной форум —› Изменение ЕХЕ --- Антивирусы
Посл.ответ Сообщение


Ранг: 666.6 (! !)
Статус: Участник
CyberMonk

Создано: 20 декабря 2006 02:16 New!
Цитата · Личное сообщение · #1

Каждый антивирус .....имеет средства для распаковки ....и к вообщем читает файлы проверяя их со своей базой .......... По идеи изменить ЕХЕ так чтобы было все ок ....не трудно .....особено если программа запакована тяжолым упаковщикои или протектором .......по крайней мере я так понимаю .....

Так вот ............ есть ли возможность просматривать бызы антивир. программ чтобы видеть параметры определения .......

P.S.Написал тему сюда так как думаю это больше к исследованию чем к програмимингу относится....


Ранг: 793.4 (! !)
Статус: Участник
Шаман

Создано: 20 декабря 2006 02:30 New!
Цитата · Личное сообщение · #2

www.wasm.ru


Ранг: 109.2 (ветеран)
Статус: Участник
Cardinal

Создано: 20 декабря 2006 02:38 New!
Цитата · Личное сообщение · #3

Тебе прийдется разбираться с форматом базы данных антивируса, причем нужно учесть что, у каждого антивируса свои сигнатуры для определения зверя.


Ранг: 666.6 (! !)
Статус: Участник
CyberMonk

Создано: 20 декабря 2006 02:50 New!
Цитата · Личное сообщение · #4

PE_Kill там есть инфа ....???

tnt17 ну с форматом понятно ......а это кто то делал уже ??? ...Win hex не покатит с поиском строки с названием ...ну допустим ....vir321 ....и я эту строку как определилась ищу .....ну а потом смотрю что там по близости ???


Ранг: 109.2 (ветеран)
Статус: Участник
Cardinal

Создано: 20 декабря 2006 02:53 · Поправил: tnt17 New!
Цитата · Личное сообщение · #5

Да,например зомба,он расковырял базы av касперского. Ссылки на дамп его сайта, где-то на васме можно найти.
Вот,читай - wasm.ru/forum/viewtopic.php?id=11448


Ранг: 666.6 (! !)
Статус: Участник
CyberMonk

Создано: 20 декабря 2006 07:59 · Поправил: mak New!
Цитата · Личное сообщение · #6

Про какого то больного чела .....вопроса на ответ нема .....похоже VDB это файл бызы ... больше вроде ни кто не ковырял базы ...

Ладно буду пробовать win HEX ом.


http://www.exelab.ru/f/index.php?action=vthread&forum=1&topic=5648&p age=-1, вот что надыбал ....


Ранг: 109.2 (ветеран)
Статус: Участник
Cardinal

Создано: 20 декабря 2006 08:09 New!
Цитата · Личное сообщение · #7

mak пишет:
Ладно буду пробовать win HEX ом.

Интересно что ты там нароешь ;) Думаешь все лежит в открытом виде?
Типа:
struct
SLen dd Vname-$
Sign db 90h,00h,'?','*',90
Vname db 'MegaVirusName ;)',0
ends;
А шифрование сигнатур?А оптимизация базы по размеру и по скорости поиска?Подумай логически...


Ранг: 666.6 (! !)
Статус: Участник
CyberMonk

Создано: 20 декабря 2006 08:14 New!
Цитата · Личное сообщение · #8

......да я понимаю ......но другого выхода не вижу ....книгу Пирогова Дизасссемблирование 2006 года.....и вперед .....я по ссылке выше нашел .....потрошители баз ..... для доктор веба .....но старая прога ...и для касперского но она не качается ....


Ранг: 109.2 (ветеран)
Статус: Участник
Cardinal

Создано: 20 декабря 2006 08:29 · Поправил: tnt17 New!
Цитата · Личное сообщение · #9

Может быть стоит изучить движек антивируса, то каким образом он работает с базами,а потом,на основе полученной информации восстановить их формат?
mak пишет:
......да я понимаю ......но другого выхода не вижу
- это тоже не выход. Просто подумай немного сам, что толку биться головой о стену?


Ранг: 109.2 (ветеран)
Статус: Участник
Cardinal

Создано: 20 декабря 2006 09:05 New!
Цитата · Личное сообщение · #10

Что еще могу посоветовать:
Ищи описание формата баз данных для ClamAV и качай его исходники. По нему восстановишь нужную тебе сигнатуру. Думаю, это будет проще чем париться с базами каспера. Не забывай конечно, что у разных АV, используются разные сигнатуры.


Ранг: 213.9 (наставник)
Статус: Участник
X-Literator

Создано: 20 декабря 2006 15:07 New!
Цитата · Личное сообщение · #11

tnt17 пишет:
Может быть стоит изучить движек антивируса, то каким образом он работает с базами,а потом,на основе полученной информации восстановить их формат

Извини за выражение, но ты усрешься изучать. Легче написать девелоперу предложение о сотрудничестве и легально формат посмотреть.
В паблике такой инфы разве не присутствуетъ?

mak пишет:
Ладно буду пробовать win HEX ом.

Аналогично, ты усрешься еще круче. Ничего не зная о формате, изучать в винхексе - полный маразм


Ранг: 221.8 (наставник)
Статус: Участник

Создано: 20 декабря 2006 16:13 New!
Цитата · Личное сообщение · #12

Crawler пишет:
Легче написать девелоперу предложение о сотрудничестве и легально формат посмотреть.

легче нойти зомбу и попросить сорцы его проги для работы с базами авп тогда
Кравлер как вы думаете какой цвет шляпы у автора данного поста? и какой у авторов антивирусов?


Ранг: 109.2 (ветеран)
Статус: Участник
Cardinal

Создано: 20 декабря 2006 23:59 New!
Цитата · Личное сообщение · #13

Crawler пишет:
Извини за выражение, но ты усрешься изучать. Легче написать девелоперу предложение о сотрудничестве и легально формат посмотреть.
В паблике такой инфы разве не присутствуетъ?

Да неужели?Вы всегда по себе оцениваете людей?


Ранг: 666.6 (! !)
Статус: Участник
CyberMonk

Создано: 21 декабря 2006 01:42 New!
Цитата · Личное сообщение · #14

Crawler пишет:
Аналогично, ты усрешься еще круче. Ничего не зная о формате, изучать в винхексе - полный маразм

ну и что ......я это делал ....тяжело ...знаю ....но возможно .......у меня получалось с другими базами ...... главное цель ....... Вообще флуд какойто ....конструктивнее надо , а не на друг друга орать ....

P.S. я думал облегчить задачу ...... хотел узнать может кто разбирал базы антивирусов ...нет так нет..... хотя оч. интересное направление...
 eXeL@B —› Основной форум —› Изменение ЕХЕ --- Антивирусы

Видеокурс ВЗЛОМ