Продолжая опус опишу способ маскировки вредоносных программ от антивирусов. Способ не лишен недостатков ( о них ниже), но не требует от пользователя знаний в области
отладки или ассемблера.
Для начала создадим себе подопытный файл. Я воспользуюсь трояном PinchLD 1.0. Скомпилируем его с выводом паролей в файл. Получимли файл размером 24,0 КБ (24 576 байт). Он прекрасно палится веми антивирусами даже с базами годичной давности. Его ты мы и будем прятать.
http://xportal.net.ru/Art/1/1.JPG
Немного лирики. Антивирусы теперь все больше и больше продвигаются. Если спрятать сигнатуру не особая проблема, то они при включенном эвристическом анализе все равно не редко умудряются распознать троян.
Это связано с тем что почти все защиты хранят ключ с помощью которого шифруется файл внутри этого же файла. ( Сейчас уже есть исключения , когджа ключа нет, и он подбирается при запуске). Мы же воспользуемся тем , что подбирать пароли антивирусы пока не научились ( и научатся не скоро). Что мы сделаем: установим на программу пароль, так что бы без знания пароля, программу нельзя было запустить. Таких программ огромное колличество. Но почти все они при запуске будут выкидывать окошко в котором будут просить ввести пароль. Убедить жертву в том что так и надо довольно проблематично будет. Поэтому возьмем программу которая может приимать требуемый пароль в качестве параметра командной строки. Такая программа : Orien 2.12.
Собственно принцип я объяснил. Кому интересно разберется сам. А я продолжу наш пример. Запускаем Orien 2.12 и делаем следующее :
http://xportal.net.ru/Art/1/2.GIF
http://xportal.net.ru/Art/1/3.GIF
http://xportal.net.ru/Art/1/4.GIF
http://xportal.net.ru/Art/1/5.GIF
Для установки паролей поясню : щелкаем на одном из 4-х полей ввода пароля , печатаем пароль ( он сразу же скрывается за звездочками). Ставим галочку возле этого поля. Отмечаем пункты "Защита по паролю", "Скрыть", "Чтение из командной строки" (!!!!! это ВАЖНО ).
После выставления опций жмем кнопку "Старт" и если все прошло нормально получаем окошко
http://xportal.net.ru/Art/1/6.GIF
В итоге я получил файл размером 24,5 КБ (25 088 байт) ( совсем небольшой прирост). Проверяем его антивирусом , он не палится. Правда при попытке запустить его выскочит окошко "Неверный пароль".
http://xportal.net.ru/Art/1/8.GIF
Его можно убрать сняв сообветсвующую галочку на вкладке "Сообщения" программы Orien перед защитой.
http://xportal.net.ru/Art/1/7.GIF
Я советую это сделать , но суть не меняется.
И так без пароля наша программа ( троян) не работает. Открываем справку к программе Orien и читаем
Синтаксис командной строки загрузчика:
отладки или ассемблера.
Для начала создадим себе подопытный файл. Я воспользуюсь трояном PinchLD 1.0. Скомпилируем его с выводом паролей в файл. Получимли файл размером 24,0 КБ (24 576 байт). Он прекрасно палится веми антивирусами даже с базами годичной давности. Его ты мы и будем прятать.
http://xportal.net.ru/Art/1/1.JPG
Немного лирики. Антивирусы теперь все больше и больше продвигаются. Если спрятать сигнатуру не особая проблема, то они при включенном эвристическом анализе все равно не редко умудряются распознать троян.
Это связано с тем что почти все защиты хранят ключ с помощью которого шифруется файл внутри этого же файла. ( Сейчас уже есть исключения , когджа ключа нет, и он подбирается при запуске). Мы же воспользуемся тем , что подбирать пароли антивирусы пока не научились ( и научатся не скоро). Что мы сделаем: установим на программу пароль, так что бы без знания пароля, программу нельзя было запустить. Таких программ огромное колличество. Но почти все они при запуске будут выкидывать окошко в котором будут просить ввести пароль. Убедить жертву в том что так и надо довольно проблематично будет. Поэтому возьмем программу которая может приимать требуемый пароль в качестве параметра командной строки. Такая программа : Orien 2.12.
Собственно принцип я объяснил. Кому интересно разберется сам. А я продолжу наш пример. Запускаем Orien 2.12 и делаем следующее :
http://xportal.net.ru/Art/1/2.GIF
http://xportal.net.ru/Art/1/3.GIF
http://xportal.net.ru/Art/1/4.GIF
http://xportal.net.ru/Art/1/5.GIF
Для установки паролей поясню : щелкаем на одном из 4-х полей ввода пароля , печатаем пароль ( он сразу же скрывается за звездочками). Ставим галочку возле этого поля. Отмечаем пункты "Защита по паролю", "Скрыть", "Чтение из командной строки" (!!!!! это ВАЖНО ).
После выставления опций жмем кнопку "Старт" и если все прошло нормально получаем окошко
http://xportal.net.ru/Art/1/6.GIF
В итоге я получил файл размером 24,5 КБ (25 088 байт) ( совсем небольшой прирост). Проверяем его антивирусом , он не палится. Правда при попытке запустить его выскочит окошко "Неверный пароль".
http://xportal.net.ru/Art/1/8.GIF
Его можно убрать сняв сообветсвующую галочку на вкладке "Сообщения" программы Orien перед защитой.
http://xportal.net.ru/Art/1/7.GIF
Я советую это сделать , но суть не меняется.
И так без пароля наша программа ( троян) не работает. Открываем справку к программе Orien и читаем
Синтаксис командной строки загрузчика:
