Как спрятать файл от антивирусов

[eRweB]

Народ, как скрыть трояны от антивирей?
Вот говорят проги такие есть.
Где их брать то?
Что за проги и возможно ли как нибудь их спрятать без прог? И как?

 

[Winux]

Вот смотри. С веб хака взял. Авторское право не нарушу

Как спрятать Pinch от антивирусов?!

Автор: stupor

Данная статья носит чисто информационный характер, чтобы показать как на ваш компьютер могут посадить, троя и все ваши (даже самые новые) антивирусы окажутся бессильными. Также я расскажу, как косвенно можно определить, что на вашем компе появился "дружественный" трой, и как попытаться избежать его успешного функционирования.

Вы решили проверить свой комп на уязвимость к Pinch и что он может утянуть у вас. Для начала нужно сконфигурировать трояна под ваши нужды.
Как его сконфигурировать есть подробная статья Terabyte хочу остановится на некоторых моментах: "упаковать FSG" НЕ Ставьте галочку! внутренний упаковщик нам только повредит, еще я не стал отмечать(за не надобностью мне) пункты FTP,Total Commander, Self Delete, Consol, Add Icon, Key-log. Прописываем адрес почтового ящика, куда будут приходить отчеты. Выбираем способ отправки через НТТР, прописываем адрес скрипта через который будут отправляться письма. Жмем конфигурировать, появилось окно что мол все ок, у кого Р-4 ждем пару секунд потом нажимаем на это окно и закрываем конфигуратор(у кого машина помедленней время ожидания умножаем на три). У вас появился файл Pinch.exe. Поздравляю! Осталось его проверить на работоспособность, (так как при одних и тех же настройках после компиляции, трой иногда работает иногда нет...). Забыл сказать, при всех манипуляциях у вас должен быть отключен антивирус ( иначе не даст работать). Включаем инет, запускаем пинча, смотрим в процессах: работает; смотрим в папке WINDOWS: прописался; Идем в почтовый ящик: отчет пришел, копируем текст в буфер обмена открываем Parser.exe жмем правую кнопку мышки выбираем пункт Process data... читаем. Если вы видите инфо по вашему компу, поздравляю вы успешно заражены пинчем и он работает! =) Теперь сделайте копию пинча (резервную на всякий пожарный). Начинаем прятать его от антивирей. Удалите его из процессов, удалите из папки WINDOWS. Берем замечательную прогу Afx!AvSpoffer (автор fij www.fi7.net)Открываем в ней нашего пинча, ставим галочки крипт и рандом, можно еще отметить бекап на всякий случай. жмем процесс. Выходим из Afx!AvSpoffer, проверяем пинча антивирусом- он ругается. замечательно! проверяем работоспособность пинча - работает!(как проверять вы уже знаете) После каждой проверки работоспособности удаляйте его из папки Windows. Опять натравливаем на пинча Afx!AvSpoffer, но теперь отмечаем пункт крипт, а рандом не включаем! Процесс! Потом берем AsPack сжимаем троя, проверяем. Каждая проверка вам нужна для того чтобы знать на каком этапе ваш трой перестал работать =) или его перестали видеть антивири, и при не обходимости использовать другой алгоритм "прятанья" у всех может быть поразному, я описываю как у меня сработало.
Мой веббер ругается! Хорошо, опять с помощью Afx!AvSpoffer выбрав пункт крипт. шифрую пинча, проверяю, Веббер сдох! Каспер молчит! (бедняга уже 32 дня не обновлялся ему простительно). Пол дела сделано.
Теперь у вас есть настроенный и спрятанный пинч весом в 16 кб. Как заставить вашего друга запустить его? Можно сказать - проверь антивирем и запусти прога улет! только он ни чего не увидит и задумается... Давайте прикрепим нашего пинча к красивой фотографии девушки нашего друга в обнаженном виде (и при посылке напишем Она тебе изменила!!! я думаю он откроет такой файл...)клеим с помощью MicroJoiner v1.6 © coban2k http://www.cobans.net. Проверяем, Каспер заорал! берем опять Afx!AvSpoffer но уже ставим галочку только на пункте рандом. Процесс, проверяем. Ну вот собственно и все! Веббер4.31в молчит, Каспер персонал-5 тоже ни чего не увидел. запускаем любуемся на картинку, проверяем почту, читаем отчет, если все работает, замечательно, если нет начинаем с начала и пробуем другие комбинации (а кто сказал что легко будет? иногда бывает достаточно убрать в пинче какой-нибудь не сильно нужный пункт например пароли на диалап).
Если при тестировании пинча в свойствах IE поставить галочку работать автономно то при запуске троя у вас вылезет окно "эта страница не доступна в автономном режиме подключиться?" Как это использовать в целях своей безопасности я думаю, вы сами догадались.

Эта статья написана исключительно в образовательных целях. Чтобы показать, что нельзя полностью полагаться на антивирусы, даже самые "крутые", и иногда думать головой при открывании файлов скачанных в Интернете или полученных по почте.

За использование данных материалов в противоправных действиях ответственность ложится только и исключительно на твои плечи!

Учитайся...

 

[Winux]

Вообщем насколько я знаю, на самом деле есть полно разных прог. Они немного увеличивают размер файла, но антивири не видят, хотя в последнее время замечено что каспер их распознает.
Давайте вместе хором убьем касперского.

 

[-CRuZ@De-]

этот способ давно не канает уже,а проги ловятся
что касается новых прог,то в паблике их не найдешь,так как стоит их только выложить как все начинает ловиться

 

[Winux]

Абидна. Значит нужно на паблик осторожнее выкладывать.
Этот способ не мой а веб хаковский. Я его не пробовал, хотя в последнее время сам ищу способ.

 

[Winux]

Вот короче только сегодня купил "Хакер" за декабрь.
Там как раз в эту тему всех подробно вгоняют.
Там написано что троян надо распаковать а затем запаковать другим алгоритмом. В Хакере написано что все пашет с Нортоном и Каспером.
Этот способ палится, скажете вы.
Ну и? - скажу я.
Ведь алгоритмов сжатия достаточно много и всех их внести в базу антивиря невозможно.
Если как следует поискать - можно найти чтонить такое.
Вообщем постим кто какие распаковщики и запаковщики нашел. Идею я вам подал. Посмотрим.

 

[AKella]

Насчет статьи в хакере:
Я короче взял чернобыль, взял прогу HidePE и переупаковал его.
Затем обнавил базі на Касперском и ... о чюдо он его не нашел
Потом брал еще пару вирей и тоже помагало.
Короче єтот способ работает.

 

[Winux]

Урааа.
Нашли способ скрыть трой!
У тебя какая версия Каспера?

 

[AKella]

У меня 5.0.156

 

[Winux]

Ну эт одна из последних...
Значит вообще все круто...

 

[acme]

Вообще-то чистяки делают в ручную... с пом. hiew, и чего-то там ещё... не помню точно.

 

[somebody]

чтобы сделать чистяк, нужны hiew, peid, petools и какой-нибудь упаковщик

 

[«Aна®xист»]

а где мона спуффку взять?или прогу HidePE ? FSG? B)

 

[somebody]

все это и многое другое можно найти здесь
http://forum.free-zona.org/index.php?showtopic=175

 

[Winux]

А давайте не будем рекламить фризону. Ты ее 5 раз уже тут проперкламил.

А Hide PE можно слить с http://bgcorp.narod.ru
Там еще 2 аналога есть. если 1 не сработает, то другое сработает))

 

[somebody]

я знаю, что эти проги можно найти там, вот я этот форум и пишу. других мест я не нашел
тебе кстати ничего не мешает закачать их на свой сервак и повесить ссылку

 

[«Aна®xист»]

Winux
спасибо=) :lol2:
somebody
да тогда получаеться вороство :pioneer:

 

[Winux]

Вот еще пара софтин:
1) PE Compact http://bitsum.com
2) PE Tools/PE Sniffer http://uinc.ru

Можно по несколько раз проводить трансформации, только иногда выходит так что прога перестает работать....
Например так не работает сервер фефа...

 

[UsAr]

...

 

[FlaxID]

А есть ли у кого кряк или сирийный ключ для SPOILERPE ????
Если есть то киньте по асе или в Лс или сюда!!