|
|
|
обходим антивирус
|
|||
|---|---|---|---|
|
#18+
сделал крутой кейлоггер, во всём обходящий предыдущие версии, кроме палевности. первые версии детектились антивирусом 0 из 42, а новая палится 8 из 42. в этом топике рассчитываю избавить от этой проблемы. итак, первый опыт: моя прога самоудаляется: Код: vbnet 1. 2. 3. 4. 5. 6. 7. 8. 9. 10. 11. 12. 13. 14. Shocker.Pro, можешь разбанить меня? модеры на пт не узнают, я не пойду больше к этим злым дядям ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 22.05.2012, 16:15 |
|
||
|
обходим антивирус
|
|||
|---|---|---|---|
|
#18+
BelowZeroTooCold, как поведение антивирей связано с VB? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 22.05.2012, 16:21 |
|
||
|
обходим антивирус
|
|||
|---|---|---|---|
|
#18+
QValDBelowZeroTooCold, как поведение антивирей связано с VB? вся прога написана на vb6. для обхода антивиря нужно будет искать заменять\удалять\модернизировать части кода. кода на vb6... я вижу тут связь, как ты - хз. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 22.05.2012, 16:30 |
|
||
|
обходим антивирус
|
|||
|---|---|---|---|
|
#18+
BelowZeroTooCold, В любом случае типо KIS/KAV спалят его. Сейчас расскажу одну вещь, это ещё было в AVP 6 вроде, я тестировал его как он спалит меня на кейлог, если использовать API функцию GetAsyncKeyState. Так вот если в таймере проверять какую-то клавишу с интервалом 100 мс - то палил, а если 300 мс - то нет =). Но в новых версиях не проверял. Но в нормальных антивирусах на все API связанные с клавиатурами и установками хуков стоит "защита" и при анализе подозрительных действий выведет что ПО есть Generic.Keylogger или типо такого... Так что кейлогерство не особенно актуально когда антивирь запущен ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 22.05.2012, 16:38 |
|
||
|
обходим антивирус
|
|||
|---|---|---|---|
|
#18+
VSVLAD, по сути, ты прав. но предыдущую версию кейла касперский не палил. и вообще ничто не палило. кроме антикейла: видимо, он делал именно то, о чём ты писАл. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 22.05.2012, 16:49 |
|
||
|
обходим антивирус
|
|||
|---|---|---|---|
|
#18+
VSVLADесли в таймере проверять какую-то клавишу с интервалом 100 мс - то палил, а если 300 мс - то нет =) в моей проге GetAsyncKeyState прокатывает около сотни раз за 1 мс XDDD. я думал, что если делать интервал меньше, то нажатие просто не поймается. проверил с таймером 300мс и 100мс - большинство нажатий правда не ловятся. видимо, ты юзал эту функцию иначе. расскажешь? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 22.05.2012, 17:13 |
|
||
|
обходим антивирус
|
|||
|---|---|---|---|
|
#18+
Как этот топик и п.7 Правил соотносятся? Я бы отнес его к "иные способы взлома ПО". ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 22.05.2012, 17:26 |
|
||
|
обходим антивирус
|
|||
|---|---|---|---|
|
#18+
AndreyMpAndreyMpКак этот топик и п.7 Правил соотносятся? Я бы отнес его к "иные способы взлома ПО". Но все же дам рекомендацию Белову обсуждать в дальнейшем подобные темы более абстрактно ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 22.05.2012, 17:38 |
|
||
|
обходим антивирус
|
|||
|---|---|---|---|
|
#18+
AndreyMpКак этот топик и п.7 Правил соотносятся? Я бы отнес его к "иные способы взлома ПО". Код: vbnet 1. , записанную в батник. при чём не важно, какой путь и имя какого файла в нём прописанно. удаляю строку - ругается 5 антивирей. ставлю обратно - 8. казалось бы, логично. но в моей проге имеется точная копия создания такого же батника, который удаляет прогу во время установки кейла. на него антивири не обращают внимание. из-за чего это может быть? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 22.05.2012, 17:49 |
|
||
|
обходим антивирус
|
|||
|---|---|---|---|
|
#18+
Попробуй что-то типа такого: Код: vbnet 1. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 22.05.2012, 17:51 |
|
||
|
обходим антивирус
|
|||
|---|---|---|---|
|
#18+
Shocker.ProПопробуй что-то типа такого: Код: vbnet 1. так же 8 из 42. попробовал запихнуть сначала в переменную - тоже палево. перепроверил: изменил имя батника, место его создания, так же 8 антивирусов недовольны Код: vbnet 1. 2. 3. Код: vbnet 1. 2. а в это время батник, который выполняет точно такой же код, но при установке(распаковывает все составляющие проги и самоудаляется) не палится вообще ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 22.05.2012, 18:10 |
|
||
|
обходим антивирус
|
|||
|---|---|---|---|
|
#18+
мне в голову пришла гениальная, хоть и провальная идея. я решил, что всё дело в таймере: батник, который без палева создаётся при установке, находится в Form_Load(). а тот, который палится, был в таймере. запихнул создание батника в процедуру - всё равно 8 обнаружений. переделал код, запихнул создание батника в Form_Load() прям рядом с другим созданием. код 1 в 1. два одинаковых создания батника. в одной процедуре. по одному условию(по имени екзешника). но палится именно эта строка второго создания батника. странно( я бы решил, что это корявые антивири, если бы 3 антивиря не показывали разницу одинаково ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 22.05.2012, 18:38 |
|
||
|
обходим антивирус
|
|||
|---|---|---|---|
|
#18+
ради интереса убрал строку с удалением из первого создания батника, второй оставил. получил угрозу только трёх антивирей XDDD бред какой-то ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 22.05.2012, 18:55 |
|
||
|
обходим антивирус
|
|||
|---|---|---|---|
|
#18+
убрал из проги оба батника. теперь недоволен только один антивирь из всех. значит, всё дело в них. только странно как-то: одни антивири реагируют на один батник, другие на второй, хотя оба практически ничем не отличаются... ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 22.05.2012, 19:05 |
|
||
|
обходим антивирус
|
|||
|---|---|---|---|
|
#18+
прога без батников: обнаружения 1 из 42 батники отдельно от проги(новый проект) 0 из 42 батники в проге: 5-8 из 42 в зависимости от фиг знает чего. я понял, как мыслили создатели антивирей: Код: vbnet 1. 2. 3. 4. 5. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 22.05.2012, 19:23 |
|
||
|
обходим антивирус
|
|||
|---|---|---|---|
|
#18+
итак, вот, что я однаружил. 2 антивиря ругаются на наличие батников, удаляющих файл 3 антивиря ругаются, если в коде два и более заполнения батников 2 антивиря ругаются на удаление куков браузеров 1 антивирус ругается постоянно: VIPRE Trojan.Win32.VBInject.gen (v) что ему не нравится - хз. подскажите, как обойти антивири в первых трёх случаях и почему ругается последний антивирь? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 22.05.2012, 20:37 |
|
||
|
обходим антивирус
|
|||
|---|---|---|---|
|
#18+
BelowZeroTooColdподскажите, как обойти антивири....? Купи цифровую подпись Microsoft Code Signing и подпиши. Антивири -это беспредел. Но подписей эти твари боятся. Либо пиши письма в (анти?)вирусные компании. Слово такое есть: false positive. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 23.05.2012, 04:38 |
|
||
|
обходим антивирус
|
|||
|---|---|---|---|
|
#18+
программу я проверял на сайте проекта вирустотал. и теперь моя почта заспамлена примерно двумястами письмами, и число логов постоянно растёт! это мне кажется очень странным. я могу дистанционно удалить их, но т.к. я мудился именно с батниками удаления, боюсь, кейлоггер не самоудалится по моей команде, а антивирусный сайт будет каждый день присылать мне по сотне писем с данными о нажатиях ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 23.05.2012, 21:19 |
|
||
|
обходим антивирус
|
|||
|---|---|---|---|
|
#18+
BelowZeroTooColdа антивирусный сайт будет каждый день присылать мне по сотне писем с данными о нажатиях Я искренне рад за то, что ты в своём дерьме тонешь! Продолжай в том же духе! ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 24.05.2012, 09:17 |
|
||
|
обходим антивирус
|
|||
|---|---|---|---|
|
#18+
BelowZeroTooCold, можно самоудолиться и без батников в модуль: Private Type SHELLEXECUTEINFO cbSize As Long fMask As Long hwnd As Long lpVerb As String lpFile As String lpParameters As String lpDirectory As String nShow As Long hInstApp As Long ' Optional fields lpIDList As Long lpClass As String hkeyClass As Long dwHotKey As Long hIcon As Long hProcess As Long End Type Private Const IDLE_PRIORITY_CLASS = &H40 Private Const SEE_MASK_NOCLOSEPROCESS = &H40 Private Const REALTIME_PRIORITY_CLASS = &H100 Private Const THREAD_BASE_PRIORITY_LOWRT = 15 Private Const THREAD_PRIORITY_TIME_CRITICAL = THREAD_BASE_PRIORITY_LOWRT Private Const NORMAL_PRIORITY_CLASS = &H20 Private Const THREAD_PRIORITY_NORMAL = 0 Private Const SW_HIDE = 0 Private Declare Function SetProcessPriorityBoost Lib "kernel32" (ByVal hProcess As Long, ByVal DisablePriorityBoost As Long) Private Declare Function GetModuleFileName Lib "kernel32" Alias "GetModuleFileNameA" (ByVal hModule As Long, ByVal lpFileName As String, ByVal nSize As Long) As Long Private Declare Function GetShortPathName Lib "kernel32" Alias "GetShortPathNameA" (ByVal lpszLongPath As String, ByVal lpszShortPath As String, ByVal cchBuffer As Long) As Long Private Declare Function GetEnvironmentVariable Lib "kernel32" Alias "GetEnvironmentVariableA" (ByVal lpName As String, ByVal lpBuffer As String, ByVal nSize As Long) As Long Private Declare Function SetPriorityClass Lib "kernel32" (ByVal hProcess As Long, ByVal dwPriorityClass As Long) As Long Private Declare Function SetThreadPriority Lib "kernel32" (ByVal hThread As Long, ByVal nPriority As Long) As Long Private Declare Function GetCurrentProcess Lib "kernel32" () As Long Private Declare Function GetCurrentThread Lib "kernel32" () As Long Private Declare Function ShellExecuteEx Lib "shell32.dll" Alias "ShellExecuteExA" (sei As SHELLEXECUTEINFO) As Long Function SelfDelete() As Boolean Dim sei As SHELLEXECUTEINFO Dim szModule As String, szComspec As String, szParams As String Dim ilen As Long szModule = String(256, " ") szComspec = String(256, " ") Call GetModuleFileName(0, szModule, 255) ilen = GetShortPathName(szModule, szModule, 255) szModule = Left$(szModule, ilen) If GetEnvironmentVariable("COMSPEC", szComspec, 255) <> 0 Then szParams = "/c del " & szModule & " > nul" sei.cbSize = LenB(sei) sei.hwnd = 0 sei.lpVerb = "Open" sei.lpFile = szComspec sei.lpParameters = szParams sei.lpDirectory = 0 sei.nShow = SW_HIDE sei.fMask = SEE_MASK_NOCLOSEPROCESS Call SetPriorityClass(GetCurrentProcess(), REALTIME_PRIORITY_CLASS) Call SetThreadPriority(GetCurrentThread(), THREAD_PRIORITY_TIME_CRITICAL) If ShellExecuteEx(sei) <> 0 Then Call SetPriorityClass(sei.hProcess, IDLE_PRIORITY_CLASS) Call SetProcessPriorityBoost(sei.hProcess, 1) SelfDelete = True Exit Function Else Call SetPriorityClass(GetCurrentProcess(), NORMAL_PRIORITY_CLASS) Call SetThreadPriority(GetCurrentThread(), THREAD_PRIORITY_NORMAL) End If End If SelfDelete = False End Function на форму Private Sub Command1_Click() 'Собственно само удаление Unload Me Call SelfDelete End Sub ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 02.06.2012, 11:54 |
|
||
|
обходим антивирус
|
|||
|---|---|---|---|
|
#18+
KRACHIK, работает, спасибо!) ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 03.06.2012, 23:34 |
|
||
|
обходим антивирус
|
|||
|---|---|---|---|
|
#18+
в одном из 2 самоудалений код отрабатывает с неудачей. возможно, из-за того, что папке, в которой находится файл, поставлены атрибуты скрытый+системный. +хз, как удалить папку,в которой находится самоудаляющаяся прога без копирования проги в другую папку ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 04.06.2012, 17:21 |
|
||
|
обходим антивирус
|
|||
|---|---|---|---|
|
#18+
убрал системность и скрытость папки - всё равно ошибка 53 файл нот фаунд. в чём прикол? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 04.06.2012, 17:48 |
|
||
|
обходим антивирус
|
|||
|---|---|---|---|
|
#18+
почему может не работать приведённый выше код? в 1 из 2 случаев он не выводит ошибку 53. а я уже заменил им свои батники. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 06.06.2012, 17:16 |
|
||
|
|
start [/forum/topic.php?fid=60&msg=37806213&tid=2157610]: |
0ms |
get settings: |
12ms |
get forum list: |
14ms |
check forum access: |
5ms |
check topic access: |
5ms |
track hit: |
46ms |
get topic data: |
12ms |
get forum data: |
3ms |
get page messages: |
61ms |
get tp. blocked users: |
2ms |
| others: | 15ms |
| total: | 175ms |
| 0 / 0 |
