Антивирь палит запись в System32. Как быть?

[mr. Eof]

Добрый день!

Проблема в том, что одна из функций моей новой "программы" копирует ее в папку system32, НО ЭТО ПАЛИТ АНТИВИРЬ!!!

Что делать?
Посоветуйте??

Спасибо!

 

[Great]

mr. Eof
отрубить антивирь, логично, да?

 

[Cr4sh]

антивирь не может ругаться на сам факт копирования проги в %systemroot%
скорее всего евристик палит её из-за того, что детектит последовательность вызовоф определённых ф-ций с оппределёнными параметрами

>> Что делать?
>> Посоветуйте??
1. вызывай ф-ции неявно (хотя бы через GetProcAddress, но лучше с ручным разбором таблицы експорта, и поиском по хэшу, чтоб не хранить в бинарнике палевные названия ф-ций)
2. заюзай полиморф
3. разбавь код мусором

 

[dedenyoila]

криптани стринговые данные.
если вызов процедуры, то его раскодируй перед обращением.

 

[el-]

ну ты и археолог, а вабще такое уже практикуется ... именно защита системных файлов или даже тупо блокировка записис в сис32 у тини фв и ф-секурите ... как вариант погрузится в нулевое кольцо и отрубить фильтры фс

 

[dedenyoila]

Имеешь ввиду восстановление SDT?

 

[el-]

нет я имею ввиду фильтры фс которые атачатся к дрову фс
кодес деатача или что то типа того

	RtlInitUnicodeString(&uname,L"\\FileSystem\\Ntfs");

	if (!ObReferenceObjectByName(
  &uname,
  OBJ_CASE_INSENSITIVE,
  NULL,
  NULL,
  *pIoDriverObjectType,
  NULL,
  NULL,
  &pdo)) {
	
  if (pdo && (pdev = pdo->DeviceObject)) {

  	do {

    DbgPrint("pdev->AttachedDevice 0x%.8x\n",
    	pdev->AttachedDevice);

    pdev->AttachedDevice = 0;
    pdev = pdev->NextDevice;

  	} while (pdev->NextDevice);

  	ObDereferenceObject(pdo);
  }
	}

 

[vvs777]

Каспер на*бывается так (за остальные точно не знаю):

Ждешь сообщения о завершении работы винды, ждешь 10 секунд пока антивирь отрубится сам, пишешься и отписываешь винде что твоя прога готова завершить работу.
Главное с таймером не перестараться а то будет сообщение о висящей проге =)

 

[Namelles One]

Эль, а проактивка будет сидеть и тупо смотреть, как ты ее фильтры отсоединяешь? 0_о

 

[Sunzer]

Бывало у меня такое. Решается это так:

XOR EAX,EAX
loop:
INC EAX
CMP EAX,xxx
JNZ loop

Где xxx число побольше

 

[Noctambulaar]

Если сделать еще один локальный диск на папку system32, не поможет? :blink:

 

[Sunzer]

А смысл? Зачем такое извращение?

 

[demien]

мне кажется, что элементарное шифрование строк + шифрование апи функций на копирование файла будет достаточно, хотя мне кажется авира достанет...
если нужно обходить фв или аверь с проактивкой, то как бы ты не криптовал, полюбому перехватит, тут реально токо из под нулевого колечка работать... и то алго в рунете не так много и портируется тяжко, а чтобы самому писать это нужно быть асм-гением

 

[FuckSellers]

Delete...

 

[Unconnected]

Как извращенный вариант - вызывать cmd с параметрами переноса нужного файла в нужную папку.

 

[TheSADIST]

аха, а в цмд отправить команду АТ, чтобы перенос был от имени системы.