Mal/Behav-053

[MasterBass]

Доброй ночи Всем.
Столкнулся с детектом от Sophos: Mal/Behav-053
Написал кейлоггер. В нём нету автозагрузки + отправки логов по интервалу, но пока не об этом.
По какому виду кода может так детектить? (сам кейлоггер на Delphi).
Просто не знаю, как он такого вида детекта избавиться...

 

[xaf0n]

Убери лишний импорт.

 

[MasterBass]

А если немного поподробнее?

 

[waahoo]

какие апи юзаешь для кейлоггинга? вот их убери из импорта. (читай юзай LoadLibrary/GetProcAddress) да и строки с именами функций спрячь как нибудь, хоть ксором хоть чем.

 

[MasterBass]

Использую только такие функции:

RegCreateKeyA
RegSetValueExA
RegCloseKey
GetKeyboardLayout
GetWindowThreadProcessId
GetForegroundWindow
GetAsyncKeyState
GetKeyState
timeSetEvent
GetWindowTextA
CreateFileA
SetFilePointer
GetFileSize
WriteFile
SetFileAttributesA
CloseHandle
GetWindowsDirectoryA
GetTempPathA

Т.к автозагрузка еще не сделана, то я пробывал убирать это:

RegCreateKeyA
RegSetValueExA
RegCloseKey

не помогло...Так же. Сейчас попробую стоки шифровать... =)

 

[Apocalypse]

Например:

GetAsyncKeyState

Да ваще к хуям убери импорт этих фунок, добавь безобидные какие-нибудь, а нужные подгружай динамически.

 

[MasterBass]

А других методов нету?
Я думал что от такого г*вно АВ можно и проще избавиться
Я конечно понимаю, что подгружать функции динамически лучше, но как-то пока без этого хочется обойтись.

 

[xaf0n]

тогда пробуйте все подряд, раз вас не устраивает данный метод. Зашифруйте стринги, разбавьте код... и т.д

 

[MasterBass]

Стринги попробую)
Пробовал обсуфикацию добавить + junk код, не помогло.
Спасибо за советы, буду колдовать

 

[demien]

xaf0n возможно импорт, но не обязательно что он, ну или не только он
ТС

А других методов нету?

методов всегда может быть более одного, но раз вам что-то предлогают, а вы даже не хотите это попробовать, то чего вы можете ожидать другого?

 

[Barack]

не можешь сам - обратись к криптору