Чистка FJ

[py4ka]

Решил почистить глoфoвский ФриJоiner билд 015
Нашёл сигнатуру по которой палит Аvаst. Пробовал затирать, .. менять. Но после этого склееный файл выдавал ошибку. "Знатоки", что скажите?

 

[py4ka]

Как почистить?

 

[wutang]

сначала мозгом, потом руками....

 

[SilverT]

А не надо было пачкать =)

Ты наверное код затер, править надо дизассемблером. Также есть возможность, что авира раскручивает код эмулятором и чисто по анализу действия детектирует стаб, ты затер пару байт кода и нарушил структуру выполнения кода, дальнейгий код превратился мусором и эмулятор заткнулся, так что не надо думать, что ты нашел "сигнатуру".

 

[karabas-barabas]

теперь точно таким же образом почисть аваст, и тогда он не будет срабатывать на джойнер

 

[py4ka]

Stalin чистил таким способом ФриКриптор

 

[SilverT]

А Ленин таким образом буржуев казнил ;D

Сталину повезло и сигнатура оказалась не в коде, а в каких-то неиспользуемых данных.

 

[Pernat1y]

Stalin чистил таким способом ФриКриптор

А Ленин таким образом буржуев казнил ;D

умер )

а по сабжу, то всетаки нужен дизасм, и там уже менять команды на идентичные, или тупо вместо той команды поставить
jmp > палящаяся команда, перенесенная куда-то взад > jmp > назад на код, следующий после оригинальной команды

 

[py4ka]

Спасибо Pernat1y за за ответ по делу

 

[SilverT]

Pernat1y
Если детектируется эмулятором, то не поможет.

Значет так. Если палится эмулятором, то придется делать джамп на свободный участок памяти, которая годится для выполнения, там антиэристический трюк, затем возврат на нормальное выполнение.

 

[Pernat1y]

Если детектируется эмулятором, то не поможет

про эмулятор не говорили. говорили про сигнатуры )

 

[Sunzer]

Открываешь в оле и все переписываешь заменяешь аналагичными командами, или полснотью перепиши стаб... А легче свой вообще написать.

Антиэмуляция примерно так делается:

XOR EAX,EAX
loop:
INC EAX
CMP EAX,99999999
JNZ loop

Только такое NOD32 палить будет