purebasic.info

PureBasic forum
Текущее время: Сб авг 18, 2018 2:17 pm

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  [ Сообщений: 22 ]  На страницу 1, 2  След.
Автор Сообщение
 Заголовок сообщения: Fake Sign или обман анализатора PEID
СообщениеДобавлено: Вт июн 23, 2015 4:54 am 
Не в сети
профессор

Зарегистрирован: Вс июн 10, 2012 8:18 am
Сообщений: 1294
Благодарил (а): 60 раз.
Поблагодарили: 49 раз.
Пункты репутации: 14
По мотивам этой темы и немного поправив код pablov

Fake Sign v 0.1
Код:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182
183
184
185
186
187
188
189
190
191
192
193
194
195
196
197
198
199
200
201
202
203
204
205
206
207
208
209
210
211
212
213
214
215
216
217
218
219
220
221
222
223
224
225
226
227
228
229
230
231
232
233
234
235
236
237
238
239
240
241
242
243
244
245
246
247
248
249
250
251
252
253
254
255
256
257
258
259
260
261
262
263
264
265
266
267
268
269
270
271
272
273
274
275
276
277
278
279
280
281
282
283
284
285
286
287
288
 
#DOS_SIGNATURE = $5A4D
#NT_SIGNATURE  = $4550
Enumeration FormWindow
  #Window_0
EndEnumeration
 
Enumeration FormGadget
  #Button_0
  #Button_1
  #String_0
  #Combo_0
EndEnumeration
 
Structure IMAGE_SECTION_HEADER1
  SecName.s{8}
  StructureUnion
    PhysicalAddr.l
    VirtualSize.l
  EndStructureUnion
  VirtualAddress.l
  SizeOfRawData.l
  PointerToRawData.l
  PointerToRelocations.l
  PointerToLinenumbers.l
  NumberOfRelocations.w
  NumberOfLinenumbers.w
  Characteristics.l
EndStructure
 
Structure IMAGE_SECTION_HEADER1S
  ish.IMAGE_SECTION_HEADER1[64]
EndStructure
 
 
 
Procedure.s RNDSectName()
  Dim sectname.s(24)
  sectname(0)="PELockNT"
  sectname(1)="ASPack"
  sectname(2)=".arma"
  sectname(3)=".code"
  sectname(4)="UPX1"
  sectname(5)="tElock"
  sectname(6)=".pepack"
  sectname(7)="Xtreme"
  sectname(8)="CDLock"
  sectname(9)="PUNiSHER"
  sectname(10)="SPLASH"
  sectname(11)=".PECrypt"
  sectname(12)=".hmjd"
  sectname(13)=".aspr"
  sectname(14)="PESHLD"
  sectname(15)=""
  sectname(16)="ZCode"
  sectname(17)=".UPX1"
  sectname(18)=".shrink"
  sectname(19)=".nfo"
  sectname(20)="ORiEN"
  sectname(21)=".vmp1"
  sectname(22)=" "
  sectname(23)="PKLITE"
  sectname(24)=".y0da"
  ProcedureReturn   sectname(Random(24))
EndProcedure
 
Global file.s
 
Procedure FakeSign()
 
  file = GetGadgetText(#String_0 )
 
  SelSign.i = GetGadgetState(#Combo_0)
  Dim SignArr.s(30)
  SignArr(0)="BBDCEE0D76D9D08D1685D890D9D0"                                                                       ;Private EXE Protector 1.8
  SignArr(1)="60E825000000A8030000617508B801000000C20C006800000000C38B85260400008D8D3B0400005150FF95"             ;ASPack v2.12
  SignArr(2)="60E82A0000005D5051EB0FB9EB0FB8EB07B9EB0F90EB08FDEB0BF2EBF5EBF6F2EB08FDEBE9F3EBE4FCE959585051EB85"   ;Armadillo 3.00a
  SignArr(3)="60E86A00000028??????000000000000000040??????34??????00000000000000000000000000000000000000004C??????5C??????000000004C??????5C??????000000004B65526E456C33322E644C6C000047657450726F634164647265737300004C6F61644C69627261727941"     ;Morphine v3.3  
  SignArr(4)="60E8000000005883E83D508DB8000000FF578DB0E8000000"                                                                                                                                                                                     ;UPX 0.60 - 0.61
  SignArr(5)="0BC00BC00BC00BC00BC00BC00BC00BC0"                                                                                                                                                                                                     ;VBOX 4.3 MTE
  SignArr(6)="60E81E0000008B04249C60E8140000005D81ED0A4540??80BD674440????0F8548FFED0A"                                                                                                                                                             ;PE Intro 1.0
  SignArr(7)="60E81700000060E8110000005D83ED0680BDE004????010F84F2FFCC0A"                                                                                                                                                                           ;PE Pack 0.99
  SignArr(8)="525155576467A1300085C0780DE8070000005883C007C6??C3"                                                                                                                                                                                   ;PE Protect 0.9
  SignArr(9)="5360BD????????8D45??8D5D??E8000000008D01"                                                                                                                                                                                             ;CD-Cops II
  SignArr(10)="60E8000000005D8BFD81ED????????2BB90000000081EF????????83BD??????????0F8400000000"                                                                                                                                                    ;DxPack 1.0
  SignArr(11)="9CFE03??60BE????41??8DBE??10FFFF5783CDFFEB10????????????????????????????????FE0B"                                                                                                                                                    ;ExeSmasher
  SignArr(12)="60E8220000005D8BD581ED????????2B95????????81EA06??????8995????????83BD4500010001"                                                                                                                                                    ;JDProtect 0.9
  SignArr(13)="5589E5E802000000C9C3????455845"                                                                                                                                                                                                      ;MinGW GCC 2.x
  SignArr(14)="60E82B000000??????????????????????????????????????????????????????????????????????????????????CCCC"                                                                                                                                  ;PESHiELD 0.25
  SignArr(15)="60E8010000005583C404E801000000905D81FFFFFF0001"                                                                                                                                                                                      ;PEX 0.99
  SignArr(16)="E912000000000000000000000000000000E9FBFFFFFFC3680000000064FF3500000000"                                                                                                                                                              ;ZCode 1.01
  SignArr(17)="E900000000????????5741"                                                                                                                                                                                                              ;WATCOM C/C++ EXE
  SignArr(18)="535657558B7424148B7C24188B6C241C83FF030F8701000000F1"                                                                                                                                                                                ;Watcom C/C++ DLL
  SignArr(19)="60??????????905D??????????????????????03DD"                                                                                                                                                                                          ;ASProtect
  SignArr(20)="????????????????????????????????????????????EB0B83EC10535657E8C4010085"                                                                                                                                                              ;CodeSafe 2.0
  SignArr(21)="BE000140006A0559807E070074118B4690????????????????????????????????83C101"                                                                                                                                                            ;DEF 1.0
  SignArr(22)="BE??????00BF??????00BB??????0053BB??????00B280"                                                                                                                                                                                      ;FSG 1.31
  SignArr(23)="68????????????????????????????????????????????EB0B83EC0C535657E8240200FF"                                                                                                                                                            ;Gleam 1.00
  SignArr(24)="60E85E00000068??6764FF360000676489260000F1??60E8000000005D81EDF31D4000B97B0900008DBD3B1E40008BF7AC909090909090909090909090909090909090909090909090909090909090909090909090909090909090909090909090AAE2CC"                            ;Yoda's Protector 1.02
  SignArr(25)="60E83300000068????????6764FF360000676489260000F1????????EB066890909090C39C60E80290909033C08BC483C004938BE38B5BFC81"                                                                                                                  ;PECompact v1.4x+
  SignArr(26)="60E82600000068??6764FF360000676489260000F1??558BEC83EC50535657BE909090908D7DF4A5A566A58B"                                                                                                                                            ;Microsoft Visual C++ v6.0          
  SignArr(27)="60E82100000068??6764FF360000676489260000F1????5A6890909090689090909052E99090FF"                                                                                                                                                      ;Microsoft Visual Basic v6.0 DLL
  SignArr(28)="60E83F00000068??6764FF360000676489260000F1????83EC4456FF15248149008BF08A063C22751C8A4601463C22740C84C074088A4601463C2275F4803E22750F46EB0C"                                                                                          ;Macromedia Windows Flash Projector/Player v6.0
  SignArr(29)="60E8410000006890906764FF360000676489260000F190538BD833C0A3090909006A00E8090900FFA309090900A109090900A30909090033C0A30909090033C0A309090900E890"                                                                                      ;Borland Delphi v6.0 - v7.0  
  SignArr(30)="9C6068000000008B742428BF????????FC89F3033424AC00D8"                                                                                                                                                                                  ;VMProtect V1.X -> PolyTech
 
  signature.s = SignArr(SelSign)
  NewSectSize.l = (Len(signature) / 2) + 6 + 2
 
 
  *DOS_HEADER.IMAGE_DOS_HEADER            
  *NT_HEADERS.IMAGE_NT_HEADERS
  *SECTION_HEADERS.IMAGE_SECTION_HEADER1S
  *NewSecEntry.IMAGE_SECTION_HEADER1
  Buf.l
  BytesRead.l
 
 
  If file
    If OpenFile(0, file)  
      FileSize.l = FileSize(file)
      FileSize   = FileSize  + NewSectSize    
      BufAdr     = AllocateMemory(FileSize + NewSectSize)
      If ReadFile(0, file)
        ReadData(0, BufAdr, FileSize)
        CloseFile(0)
        ; Инициируем структуры  
        *DOS_HEADER = BufAdr
        *NT_HEADERS = BufAdr + *DOS_HEADER\e_lfanew
        *SECTION_HEADERS = *NT_HEADERS\OptionalHeader + *NT_HEADERS\FileHeader\SizeOfOptionalHeader
        If *DOS_HEADER\e_magic = #DOS_SIGNATURE And *NT_HEADERS\Signature = #NT_SIGNATURE ; Если это PE файл
                                                                                          ; Поиск максимального RVA
          MaxRVA.l = *SECTION_HEADERS\ish[0]\VirtualAddress
          MaxRVAIndex.l = 0
          For i = 1 To *NT_HEADERS\FileHeader\NumberOfSections - 1
            If *SECTION_HEADERS\ish[i]\VirtualAddress > MaxRVA  
              MaxRVA = *SECTION_HEADERS\ish[i]\VirtualAddress
              MaxRVAIndex = i
            EndIf      
          Next i
          *NewSecEntry = *SECTION_HEADERS\ish[*NT_HEADERS\FileHeader\NumberOfSections]
          FillMemory(*NewSecEntry, SizeOf(IMAGE_SECTION_HEADER1), 0, #PB_Byte)
          *NewSecEntry\SecName         = RNDSectName()
          *NewSecEntry\VirtualSize     = NewSectSize
          *NewSecEntry\SizeOfRawData   = NewSectSize
          *NewSecEntry\Characteristics = $60000020
          ;  Выравниваем *******************************************************
          If (MaxRVA + *SECTION_HEADERS\ish[MaxRVAIndex]\VirtualSize) & $00000fff > 0
            *NewSecEntry\VirtualAddress = (MaxRVA + *SECTION_HEADERS\ish[MaxRVAIndex]\VirtualSize) & $fffff000 + *NT_HEADERS\OptionalHeader\SectionAlignment
          Else
            *NewSecEntry\VirtualAddress = MaxRVA + *SECTION_HEADERS\ish[MaxRVAIndex]\VirtualSize
          EndIf
          If NewSectSize & $00000fff > 0
            *NT_HEADERS\OptionalHeader\SizeOfImage = (*NewSecEntry\VirtualAddress + NewSectSize) &  $fffff000 + *NT_HEADERS\OptionalHeader\SectionAlignment
          Else
            *NT_HEADERS\OptionalHeader\SizeOfImage = *NewSecEntry\VirtualAddress + NewSectSize
          EndIf          
          ;**********************************************************************  
          *NewSecEntry\PointerToRawData = *SECTION_HEADERS\ish[*NT_HEADERS\FileHeader\NumberOfSections-1]\PointerToRawData + *SECTION_HEADERS\ish[*NT_HEADERS\FileHeader\NumberOfSections-1]\SizeOfRawData
          *NT_HEADERS\FileHeader\NumberOfSections + 1   ;  Добавляем число секций
                                                        ; меняем EP
          OldEP = *NT_HEADERS\OptionalHeader\AddressOfEntryPoint   ; запоминаем старую EP
          *NT_HEADERS\OptionalHeader\AddressOfEntryPoint = *NewSecEntry\VirtualAddress
          ; Затираем bound import если он есть
          If *NT_HEADERS\OptionalHeader\DataDirectory[#IMAGE_DIRECTORY_ENTRY_BOUND_IMPORT]\VirtualAddress <> 0
            *NT_HEADERS\OptionalHeader\DataDirectory[#IMAGE_DIRECTORY_ENTRY_BOUND_IMPORT]\VirtualAddress = 0
            *NT_HEADERS\OptionalHeader\DataDirectory[#IMAGE_DIRECTORY_ENTRY_BOUND_IMPORT]\Size = 0        
          EndIf
 
         
          ; Запись измененного файла
          If CreateFile(0, file + ".exe")
            FileSeek(0, 0)
            WriteData(0, BufAdr, *NewSecEntry\PointerToRawData + *NewSecEntry\SizeOfRawData)
            ;    Устанавливаем пойнтер на офсет начала новой секции и записываем нужные инструкции
            FileSeek(0, *SECTION_HEADERS\ish[MaxRVAIndex + 1]\PointerToRawData)
            For i=0 To Len(signature) -1  Step 2
              bt.s = Mid(signature, i+1, 2)
              If bt.s = "??"
                bt.s = "90"
              EndIf
              WriteByte(0, Val("$"+bt))  
            Next
           
            WriteByte(0, $68)    ; Прыгаем на родную EP
            WriteLong(0, OldEP + *NT_HEADERS\OptionalHeader\ImageBase)
            WriteByte(0, $0C3)
            CloseFile(0)  
             MessageRequester("", "Completed!", #MB_OK)
          EndIf  
          FreeMemory(BufAdr)
        Else
          MessageRequester("Ахтунг", "No valid PE File", #MB_OK|#MB_ICONWARNING)
        EndIf  
      EndIf
    Else  
      MessageRequester("Ахтунг", "Can&#39;t open file" + Chr(10) + "Possible file is occupied other program.", #MB_OK|#MB_ICONWARNING)
    EndIf
  EndIf
 
EndProcedure
 
 
Procedure OpenWindow_0(x = 0, y = 0, width = 288, height = 118)
  OpenWindow(#Window_0, x, y, width, height, "Fake Sign", #PB_Window_SystemMenu | #PB_Window_MinimizeGadget | #PB_Window_ScreenCentered)
  ButtonGadget(#Button_0, 256, 16, 28, 20, "...")
  ButtonGadget(#Button_1, 8, 72, 274, 34, "Do it")
  StringGadget(#String_0, 8, 16, 244, 20, "Drag & Drop or select PE file...")
  ComboBoxGadget(#Combo_0, 8, 46, 274, 20)
  EnableWindowDrop(#Window_0, #PB_Drop_Files, #PB_Drag_Copy)
 
  AddGadgetItem(#Combo_0, -1, "Private EXE Protector 1.8")
  AddGadgetItem(#Combo_0, -1, "ASPack 2.xx")
  AddGadgetItem(#Combo_0, -1, "Armadillo 3.00a")
  AddGadgetItem(#Combo_0, -1, "Morphine v3.3")
  AddGadgetItem(#Combo_0, -1, "UPX 0.60 - 0.61")
  AddGadgetItem(#Combo_0, -1, "VBOX 4.3 MTE")
  AddGadgetItem(#Combo_0, -1, "PE Intro 1.0")
  AddGadgetItem(#Combo_0, -1, "PE Pack 0.99")
  AddGadgetItem(#Combo_0, -1, "PE Protect 0.9")
  AddGadgetItem(#Combo_0, -1, "CD-Cops II")
  AddGadgetItem(#Combo_0, -1, "DxPack 1.0")
  AddGadgetItem(#Combo_0, -1, "ExeSmasher")
  AddGadgetItem(#Combo_0, -1, "JDProtect 0.9")
  AddGadgetItem(#Combo_0, -1, "MinGW GCC 2.x")
  AddGadgetItem(#Combo_0, -1, "PESHiELD 0.25")
  AddGadgetItem(#Combo_0, -1, "PEX 0.99")
  AddGadgetItem(#Combo_0, -1, "ZCode 1.01")
  AddGadgetItem(#Combo_0, -1, "WATCOM C/C++ EXE")
  AddGadgetItem(#Combo_0, -1, "Watcom C/C++ DLL")
  AddGadgetItem(#Combo_0, -1, "ASProtect")
  AddGadgetItem(#Combo_0, -1, "CodeSafe 2.0")
  AddGadgetItem(#Combo_0, -1, "DEF 1.0")
  AddGadgetItem(#Combo_0, -1, "FSG 1.31")
  AddGadgetItem(#Combo_0, -1, "Gleam 1.00")
  AddGadgetItem(#Combo_0, -1, "Yoda&#39;s Protector 1.02")
  AddGadgetItem(#Combo_0, -1, "PECompact v1.4x+")
  AddGadgetItem(#Combo_0, -1, "Microsoft Visual C++ v6.0")  
  AddGadgetItem(#Combo_0, -1, "Microsoft Visual Basic v6.0 DLL")
  AddGadgetItem(#Combo_0, -1, "Macromedia Windows Flash Projector/Player v6.0")
  AddGadgetItem(#Combo_0, -1, "Borland Delphi v6.0 - v7.0")
  AddGadgetItem(#Combo_0, -1, "VMProtect V1.X -> PolyTech")
 
 
  SetGadgetState(#Combo_0, 0)
  DisableGadget(#String_0, 1)
  DisableGadget(#Button_1, 1)
EndProcedure
 
Procedure Window_0_Events(event)
  Select event
    Case #PB_Event_CloseWindow
      ProcedureReturn #False
     
    Case    #PB_Event_WindowDrop
      Select EventWindow()
        Case #Window_0
          FileDrop.s = EventDropFiles()
          SetGadgetText(#String_0, FileDrop.s)
          DisableGadget(#Button_1, 0)
      EndSelect
     
    Case #PB_Event_Menu
      Select EventMenu()
      EndSelect
     
    Case #PB_Event_Gadget
      Select EventGadget()
         
        Case #Button_0
          file.s = OpenFileRequester("Open PE file", "", "PEfiles|*.exe;*.dll|All files|*.*", 0)
          If file
          SetGadgetText(#String_0, file)
          DisableGadget(#Button_1, 0)
          EndIf
        Case #Button_1
          FakeSign()
      EndSelect
  EndSelect
  ProcedureReturn #True
EndProcedure
 
OpenWindow_0()
 
Repeat
  event = WaitWindowEvent()
Until Window_0_Events(event) = #False
 



Обманывается только PEID. Большинство остальных или не реагируют или детектят как Fake Sign. Но и недоантивирусы типа аваста воспринимают сигнатуру(или имя секции) как вирус. В общем весь набор камней, как и у других программ подобного рода :D

UPD

Fake Sign v 0.2.a (Hide EP, AntiDBG)
Код:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182
183
184
185
186
187
188
189
190
191
192
193
194
195
196
197
198
199
200
201
202
203
204
205
206
207
208
209
210
211
212
213
214
215
216
217
218
219
220
221
222
223
224
225
226
227
228
229
230
231
232
233
234
235
236
237
238
239
240
241
242
243
244
245
246
247
248
249
250
251
252
253
254
255
256
257
258
259
260
261
262
263
264
265
266
267
268
269
270
271
272
273
274
275
276
277
278
279
280
281
282
283
284
285
286
287
288
289
290
291
292
293
294
295
296
297
298
299
300
301
302
303
304
305
306
307
308
309
310
311
312
313
314
315
316
317
318
319
320
321
322
323
324
325
326
327
328
329
330
331
332
333
334
335
336
337
338
339
340
341
342
343
344
345
346
347
348
349
350
351
352
353
354
355
356
357
358
359
360
361
362
363
364
365
366
 
 
#DOS_SIGNATURE = $5A4D
#NT_SIGNATURE  = $4550
Enumeration FormWindow
  #Window_0
EndEnumeration
 
Enumeration FormGadget
  #Button_0
  #Button_1
  #String_0
  #Combo_0
  #HideEP
  #AntiDBG
EndEnumeration
 
Structure IMAGE_SECTION_HEADER1
  SecName.s{8}
  StructureUnion
    PhysicalAddr.l
    VirtualSize.l
  EndStructureUnion
  VirtualAddress.l
  SizeOfRawData.l
  PointerToRawData.l
  PointerToRelocations.l
  PointerToLinenumbers.l
  NumberOfRelocations.w
  NumberOfLinenumbers.w
  Characteristics.l
EndStructure
 
Structure IMAGE_SECTION_HEADER1S
  ish.IMAGE_SECTION_HEADER1[64]
EndStructure
 
 
 
Procedure.s RNDSectName()
  Dim sectname.s(24)
  sectname(0)="PELockNT"
  sectname(1)="ASPack"
  sectname(2)=".arma"
  sectname(3)=".code"
  sectname(4)="UPX1"
  sectname(5)="tElock"
  sectname(6)=".pepack"
  sectname(7)="Xtreme"
  sectname(8)="CDLock"
  sectname(9)="PUNiSHER"
  sectname(10)="SPLASH"
  sectname(11)=".PECrypt"
  sectname(12)=".hmjd"
  sectname(13)=".aspr"
  sectname(14)="PESHLD"
  sectname(15)=""
  sectname(16)="ZCode"
  sectname(17)=".UPX1"
  sectname(18)=".shrink"
  sectname(19)=".nfo"
  sectname(20)="ORiEN"
  sectname(21)=".vmp1"
  sectname(22)=" "
  sectname(23)="PKLITE"
  sectname(24)=".y0da"
  ProcedureReturn   sectname(Random(24))
EndProcedure
 
Global file.s
 
Procedure XORcrypt(start, size)
  VirtualProtect_(start,size,#PAGE_READWRITE,@OrigMode)
  !MOV dword edi,[p.v_start]
  !MOV dword ecx,[p.v_size]
  !@@:
  !XOR byte[edi],10110111b
  !INC edi
  !DEC ecx
  !TEST ecx,ecx
  !JNZ @b
  VirtualProtect_(start,size,OrigMode,#PAGE_READWRITE)
EndProcedure
 
 
Procedure.s ReversAdr(vall)
  t.s = Hex(vall,#PB_Long)
  For i=Len(t.s)-1 To 0 Step -2
    tt.s + Mid(t.s, i, 2)
  Next i
  ProcedureReturn tt
EndProcedure
 
 
 
Procedure.s HideEP(ep)
  *mem = AllocateMemory(4)
  PokeL(*mem, ep)
  XORcrypt(*mem, 4)
  tt.s = ReversAdr(PeekL(*mem))
  FreeMemory(*mem)
  ProcedureReturn tt
EndProcedure
 
 
 
Procedure FakeSign()
 
  file = GetGadgetText(#String_0 )
 
  SelSign.i = GetGadgetState(#Combo_0)
  Dim SignArr.s(31)
  SignArr(0)="BBDCEE0D76D9D08D1685D890D9D0"                                                                       ;Private EXE Protector 1.8
  SignArr(1)="60E825000000A8030000617508B801000000C20C006800000000C38B85260400008D8D3B0400005150FF95"             ;ASPack v2.12
  SignArr(2)="60E82A0000005D5051EB0FB9EB0FB8EB07B9EB0F90EB08FDEB0BF2EBF5EBF6F2EB08FDEBE9F3EBE4FCE959585051EB85"   ;Armadillo 3.00a
  SignArr(3)="60E86A00000028??????000000000000000040??????34??????00000000000000000000000000000000000000004C??????5C??????000000004C??????5C??????000000004B65526E456C33322E644C6C000047657450726F634164647265737300004C6F61644C69627261727941"     ;Morphine v3.3  
  SignArr(4)="60E8000000005883E83D508DB8000000FF578DB0E8000000"                                                                                                                                                                                     ;UPX 0.60 - 0.61
  SignArr(5)="0BC00BC00BC00BC00BC00BC00BC00BC0"                                                                                                                                                                                                     ;VBOX 4.3 MTE
  SignArr(6)="60E81E0000008B04249C60E8140000005D81ED0A4540??80BD674440????0F8548FFED0A"                                                                                                                                                             ;PE Intro 1.0
  SignArr(7)="60E81700000060E8110000005D83ED0680BDE004????010F84F2FFCC0A"                                                                                                                                                                           ;PE Pack 0.99
  SignArr(8)="525155576467A1300085C0780DE8070000005883C007C6??C3"                                                                                                                                                                                   ;PE Protect 0.9
  SignArr(9)="5360BD????????8D45??8D5D??E8000000008D01"                                                                                                                                                                                             ;CD-Cops II
  SignArr(10)="60E8000000005D8BFD81ED????????2BB90000000081EF????????83BD??????????0F8400000000"                                                                                                                                                    ;DxPack 1.0
  SignArr(11)="9CFE03??60BE????41??8DBE??10FFFF5783CDFFEB10????????????????????????????????FE0B"                                                                                                                                                    ;ExeSmasher
  SignArr(12)="60E8220000005D8BD581ED????????2B95????????81EA06??????8995????????83BD4500010001"                                                                                                                                                    ;JDProtect 0.9
  SignArr(13)="5589E5E802000000C9C3????455845"                                                                                                                                                                                                      ;MinGW GCC 2.x
  SignArr(14)="60E82B000000??????????????????????????????????????????????????????????????????????????????????CCCC"                                                                                                                                  ;PESHiELD 0.25
  SignArr(15)="60E8010000005583C404E801000000905D81FFFFFF0001"                                                                                                                                                                                      ;PEX 0.99
  SignArr(16)="E912000000000000000000000000000000E9FBFFFFFFC3680000000064FF3500000000"                                                                                                                                                              ;ZCode 1.01
  SignArr(17)="E900000000????????5741"                                                                                                                                                                                                              ;WATCOM C/C++ EXE
  SignArr(18)="535657558B7424148B7C24188B6C241C83FF030F8701000000F1"                                                                                                                                                                                ;Watcom C/C++ DLL
  SignArr(19)="60??????????905D??????????????????????03DD"                                                                                                                                                                                          ;ASProtect
  SignArr(20)="????????????????????????????????????????????EB0B83EC10535657E8C4010085"                                                                                                                                                              ;CodeSafe 2.0
  SignArr(21)="BE000140006A0559807E070074118B4690????????????????????????????????83C101"                                                                                                                                                            ;DEF 1.0
  SignArr(22)="BE??????00BF??????00BB??????0053BB??????00B280"                                                                                                                                                                                      ;FSG 1.31
  SignArr(23)="68????????????????????????????????????????????EB0B83EC0C535657E8240200FF"                                                                                                                                                            ;Gleam 1.00
  SignArr(24)="60E85E00000068??6764FF360000676489260000F1??60E8000000005D81EDF31D4000B97B0900008DBD3B1E40008BF7AC909090909090909090909090909090909090909090909090909090909090909090909090909090909090909090909090AAE2CC"                            ;Yoda&#39;s Protector 1.02
  SignArr(25)="60E83300000068????????6764FF360000676489260000F1????????EB066890909090C39C60E80290909033C08BC483C004938BE38B5BFC81"                                                                                                                  ;PECompact v1.4x+
  SignArr(26)="60E82600000068??6764FF360000676489260000F1??558BEC83EC50535657BE909090908D7DF4A5A566A58B"                                                                                                                                            ;Microsoft Visual C++ v6.0          
  SignArr(27)="60E82100000068??6764FF360000676489260000F1????5A6890909090689090909052E99090FF"                                                                                                                                                      ;Microsoft Visual Basic v6.0 DLL
  SignArr(28)="60E83F00000068??6764FF360000676489260000F1????83EC4456FF15248149008BF08A063C22751C8A4601463C22740C84C074088A4601463C2275F4803E22750F46EB0C"                                                                                          ;Macromedia Windows Flash Projector/Player v6.0
  SignArr(29)="60E8410000006890906764FF360000676489260000F190538BD833C0A3090909006A00E8090900FFA309090900A109090900A30909090033C0A30909090033C0A309090900E890"                                                                                      ;Borland Delphi v6.0 - v7.0  
  SignArr(30)="9C6068000000008B742428BF????????FC89F3033424AC00D8"                                                                                                                                                                                  ;VMProtect V1.X -> PolyTech
 
 
  signature.s = SignArr(SelSign)
 
  hideEP.s = ""
  antiDBG.s = ""
 
 
 
 
  If GetGadgetState(#HideEP) = 1
    NewSectSize.l = (Len(signature) / 2) + 6 + 2 + 103
  Else
    NewSectSize.l = (Len(signature) / 2) + 6 + 2
  EndIf
 
  *DOS_HEADER.IMAGE_DOS_HEADER            
  *NT_HEADERS.IMAGE_NT_HEADERS
  *SECTION_HEADERS.IMAGE_SECTION_HEADER1S
  *NewSecEntry.IMAGE_SECTION_HEADER1
  Buf.l
  BytesRead.l
 
 
  If file
    If OpenFile(0, file)  
      FileSize.l = FileSize(file)
      FileSize   = FileSize  + NewSectSize    
      BufAdr     = AllocateMemory(FileSize + NewSectSize)
      If ReadFile(0, file)
        ReadData(0, BufAdr, FileSize)
        CloseFile(0)
        ; Инициируем структуры  
        *DOS_HEADER = BufAdr
        *NT_HEADERS = BufAdr + *DOS_HEADER\e_lfanew
        *SECTION_HEADERS = *NT_HEADERS\OptionalHeader + *NT_HEADERS\FileHeader\SizeOfOptionalHeader
        If *DOS_HEADER\e_magic = #DOS_SIGNATURE And *NT_HEADERS\Signature = #NT_SIGNATURE ; Если это PE файл
                                                                                          ; Поиск максимального RVA
          MaxRVA.l = *SECTION_HEADERS\ish[0]\VirtualAddress
          MaxRVAIndex.l = 0
          For i = 1 To *NT_HEADERS\FileHeader\NumberOfSections - 1
            If *SECTION_HEADERS\ish[i]\VirtualAddress > MaxRVA  
              MaxRVA = *SECTION_HEADERS\ish[i]\VirtualAddress
              MaxRVAIndex = i
            EndIf      
          Next i
          *NewSecEntry = *SECTION_HEADERS\ish[*NT_HEADERS\FileHeader\NumberOfSections]
          FillMemory(*NewSecEntry, SizeOf(IMAGE_SECTION_HEADER1), 0, #PB_Byte)
          *NewSecEntry\SecName         = RNDSectName()
          *NewSecEntry\VirtualSize     = NewSectSize
          *NewSecEntry\SizeOfRawData   = NewSectSize
          *NewSecEntry\Characteristics = $E0000020
          ;  Выравниваем *******************************************************
          If (MaxRVA + *SECTION_HEADERS\ish[MaxRVAIndex]\VirtualSize) & $00000fff > 0
            *NewSecEntry\VirtualAddress = (MaxRVA + *SECTION_HEADERS\ish[MaxRVAIndex]\VirtualSize) & $fffff000 + *NT_HEADERS\OptionalHeader\SectionAlignment
          Else
            *NewSecEntry\VirtualAddress = MaxRVA + *SECTION_HEADERS\ish[MaxRVAIndex]\VirtualSize
          EndIf
          If NewSectSize & $00000fff > 0
            *NT_HEADERS\OptionalHeader\SizeOfImage = (*NewSecEntry\VirtualAddress + NewSectSize) &  $fffff000 + *NT_HEADERS\OptionalHeader\SectionAlignment
          Else
            *NT_HEADERS\OptionalHeader\SizeOfImage = *NewSecEntry\VirtualAddress + NewSectSize
          EndIf          
          ;**********************************************************************  
          *NewSecEntry\PointerToRawData = *SECTION_HEADERS\ish[*NT_HEADERS\FileHeader\NumberOfSections-1]\PointerToRawData + *SECTION_HEADERS\ish[*NT_HEADERS\FileHeader\NumberOfSections-1]\SizeOfRawData
          *NT_HEADERS\FileHeader\NumberOfSections + 1   ;  Добавляем число секций
                                                        ; меняем EP
          OldEP = *NT_HEADERS\OptionalHeader\AddressOfEntryPoint   ; запоминаем старую EP
          *NT_HEADERS\OptionalHeader\AddressOfEntryPoint = *NewSecEntry\VirtualAddress
          ; Затираем bound import если он есть
          If *NT_HEADERS\OptionalHeader\DataDirectory[#IMAGE_DIRECTORY_ENTRY_BOUND_IMPORT]\VirtualAddress <> 0
            *NT_HEADERS\OptionalHeader\DataDirectory[#IMAGE_DIRECTORY_ENTRY_BOUND_IMPORT]\VirtualAddress = 0
            *NT_HEADERS\OptionalHeader\DataDirectory[#IMAGE_DIRECTORY_ENTRY_BOUND_IMPORT]\Size = 0        
          EndIf
         
         
          If  GetGadgetState(#AntiDBG) = 1 And GetGadgetState(#HideEP) = 1          
            antiDBG.s + "EB69D31687B7B7B73CE7BB3265C2BCD31687B7B7B73CE7BBE574D33CA287B7B7B73CE5DF3265C3BCD31687B7B7B73CE7BBE574A1A02BEF92B7B6B7B7BE77C3BCD31687B7B7B73CE7BBE574D31687B7B7B73DF7DF93C78BC7C2BCD31687B7B7B73CE7BBE574DF"
            hideEP.s + antiDBG + HideEP(OldEP + *NT_HEADERS\OptionalHeader\ImageBase) + "7464A1180000008B40308A4002FEC8249E0419B9690000003081" + ReversAdr(*NT_HEADERS\OptionalHeader\ImageBase + *NewSecEntry\VirtualAddress +1 + (Len(signature)/2) ) +"00E2F8E973FFFFFF"    
          EndIf
          If  GetGadgetState(#HideEP) = 1            
            hideEP.s + "EB06DF" + HideEP(OldEP + *NT_HEADERS\OptionalHeader\ImageBase) + "7464A1180000008B40308A4002FEC824A20415B9060000003081" + ReversAdr(*NT_HEADERS\OptionalHeader\ImageBase + *NewSecEntry\VirtualAddress +1 + (Len(signature)/2) ) +"00E2F8EBD9"    
          EndIf
          If GetGadgetState(#AntiDBG) = 1
            hideEP.s + "EB65D31687B7B7B73CE7BB3265C2BCD31687B7B7B73CE7BBE574D33CA287B7B7B73CE5DF3265C3BCD31687B7B7B73CE7BBE574A1A02BEF92B7B6B7B7BE77C3BCD31687B7B7B73CE7BBE574D31687B7B7B73DF7DF93C78BC7C2BCD31687B7B7B73CE7BBE5745C9364A1180000008B40308A4002FEC8249E0419B9650000003081" + ReversAdr(*NT_HEADERS\OptionalHeader\ImageBase + *NewSecEntry\VirtualAddress +1 + (Len(signature)/2)) +"00E2F8E977FFFFFF"
          EndIf
         
         
          FullStr.s =  signature  + hideEP
         
          ; Запись измененного файла
          If CreateFile(0, file + ".exe")
            FileSeek(0, 0)
            WriteData(0, BufAdr, *NewSecEntry\PointerToRawData + *NewSecEntry\SizeOfRawData)
            ;    Устанавливаем пойнтер на офсет начала новой секции и записываем нужные инструкции
            FileSeek(0, *SECTION_HEADERS\ish[MaxRVAIndex + 1]\PointerToRawData)
            For i=0 To Len(FullStr) -1  Step 2
              bt.s = Mid(FullStr, i+1, 2)
              If bt.s = "??"
                bt.s = "90"
              EndIf
              WriteByte(0, Val("$"+bt))  
            Next
           
            If GetGadgetState(#HideEP) = 0 Or (GetGadgetState(#HideEP) = 0 And GetGadgetState(#AntiDBG) = 1 )
              WriteByte(0, $68)    ; Прыгаем на родную EP
              WriteLong(0, OldEP + *NT_HEADERS\OptionalHeader\ImageBase)
              WriteByte(0, $0C3)
            EndIf
           
           
           
           
            CloseFile(0)  
            MessageRequester("", "Completed!", #MB_OK)
          EndIf  
          FreeMemory(BufAdr)
        Else
          MessageRequester("Ахтунг", "No valid PE File", #MB_OK|#MB_ICONWARNING)
        EndIf  
      EndIf
    Else  
      MessageRequester("Ахтунг", "Can&#39;t open file" + Chr(10) + "Possible file is occupied other program.", #MB_OK|#MB_ICONWARNING)
    EndIf
  EndIf
 
EndProcedure
 
Procedure OpenWindow_0(x = 0, y = 0, width = 288, height = 132)
  OpenWindow(#Window_0, x, y, width, height, "Fake Sign v0.2.a    [MrF]", #PB_Window_SystemMenu | #PB_Window_MinimizeGadget | #PB_Window_ScreenCentered)
  ButtonGadget(#Button_0, 256, 16, 28, 20, "...")
  ButtonGadget(#Button_1, 8, 92, 274, 34, "Do it")
  StringGadget(#String_0, 8, 16, 244, 20, "Drag & Drop Or Select PE file...")
  ComboBoxGadget(#Combo_0, 8, 46, 274, 20)
  CheckBoxGadget(#HideEP, 10, 74, 68, 16, "Hide EP")
  SetGadgetState(#HideEP, #PB_Checkbox_Checked)
  CheckBoxGadget(#AntiDBG, 222, 72, 66, 18, "AntiDBG")
  SetGadgetState(#AntiDBG, #PB_Checkbox_Checked)
 
 
  AddGadgetItem(#Combo_0, -1, "Private EXE Protector 1.8")
  AddGadgetItem(#Combo_0, -1, "ASPack 2.xx")
  AddGadgetItem(#Combo_0, -1, "Armadillo 3.00a")
  AddGadgetItem(#Combo_0, -1, "Morphine v3.3")
  AddGadgetItem(#Combo_0, -1, "UPX 0.60 - 0.61")
  AddGadgetItem(#Combo_0, -1, "VBOX 4.3 MTE")
  AddGadgetItem(#Combo_0, -1, "PE Intro 1.0")
  AddGadgetItem(#Combo_0, -1, "PE Pack 0.99")
  AddGadgetItem(#Combo_0, -1, "PE Protect 0.9")
  AddGadgetItem(#Combo_0, -1, "CD-Cops II")
  AddGadgetItem(#Combo_0, -1, "DxPack 1.0")
  AddGadgetItem(#Combo_0, -1, "ExeSmasher")
  AddGadgetItem(#Combo_0, -1, "JDProtect 0.9")
  AddGadgetItem(#Combo_0, -1, "MinGW GCC 2.x")
  AddGadgetItem(#Combo_0, -1, "PESHiELD 0.25")
  AddGadgetItem(#Combo_0, -1, "PEX 0.99")
  AddGadgetItem(#Combo_0, -1, "ZCode 1.01")
  AddGadgetItem(#Combo_0, -1, "WATCOM C/C++ EXE")
  AddGadgetItem(#Combo_0, -1, "Watcom C/C++ DLL")
  AddGadgetItem(#Combo_0, -1, "ASProtect")
  AddGadgetItem(#Combo_0, -1, "CodeSafe 2.0")
  AddGadgetItem(#Combo_0, -1, "DEF 1.0")
  AddGadgetItem(#Combo_0, -1, "FSG 1.31")
  AddGadgetItem(#Combo_0, -1, "Gleam 1.00")
  AddGadgetItem(#Combo_0, -1, "Yoda&#39;s Protector 1.02")
  AddGadgetItem(#Combo_0, -1, "PECompact v1.4x+")
  AddGadgetItem(#Combo_0, -1, "Microsoft Visual C++ v6.0")  
  AddGadgetItem(#Combo_0, -1, "Microsoft Visual Basic v6.0 DLL")
  AddGadgetItem(#Combo_0, -1, "Macromedia Windows Flash Projector/Player v6.0")
  AddGadgetItem(#Combo_0, -1, "Borland Delphi v6.0 - v7.0")
  AddGadgetItem(#Combo_0, -1, "VMProtect V1.X -> PolyTech")
 
 
 
  EnableWindowDrop(#Window_0, #PB_Drop_Files, #PB_Drag_Link)
  SetGadgetState(#Combo_0, 0)
  DisableGadget(#String_0, 1)
  DisableGadget(#Button_1, 1)
EndProcedure
 
Procedure Window_0_Events(event)
  Select event
    Case #PB_Event_CloseWindow
      ProcedureReturn #False
     
    Case    #PB_Event_WindowDrop
      Select EventWindow()
        Case #Window_0
          FileDrop.s = EventDropFiles()
          SetGadgetText(#String_0, FileDrop.s)
          DisableGadget(#Button_1, 0)
      EndSelect
     
    Case #PB_Event_Menu
      Select EventMenu()
      EndSelect
     
    Case #PB_Event_Gadget
      Select EventGadget()
         
        Case #Button_0
          file.s = OpenFileRequester("Open PE file", "", "PEfiles|*.exe;*.dll|All files|*.*", 0)
          If file
            SetGadgetText(#String_0, file)
            DisableGadget(#Button_1, 0)
          EndIf
        Case #Button_1
          FakeSign()
         
         
      EndSelect
  EndSelect
  ProcedureReturn #True
EndProcedure
 
OpenWindow_0()
 
Repeat
  event = WaitWindowEvent()
Until Window_0_Events(event) = #False
 
 
 



Вложения:
FakeSign v.0.2.a.rar [24.19 KiB]
Скачиваний: 116


Последний раз редактировалось MrF Пт сен 04, 2015 4:02 am, всего редактировалось 2 раз(а).
Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: Fake Sign или обман анализатора PEID
СообщениеДобавлено: Ср июн 24, 2015 6:30 am 
Не в сети
профессор

Зарегистрирован: Вт май 13, 2014 4:12 am
Сообщений: 652
Благодарил (а): 75 раз.
Поблагодарили: 20 раз.
Пункты репутации: 5
MrF писал(а):
Но и недоантивирусы типа аваста воспринимают сигнатуру(или имя секции) как вирус.

Есть люди которые пищат от восторга от аваста.
Это Г. в одной моей проге что то находит и ругается, это со слов любителя аваста. Теперь надо эту хрень качать и пробовать.
Кто нить может подсказать как определить кусок кода на который антивирь будет ругаться. Такое ведь может случиться с любой прогой.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: Fake Sign или обман анализатора PEID
СообщениеДобавлено: Чт июн 25, 2015 12:43 pm 
Не в сети
профессор

Зарегистрирован: Вс июн 10, 2012 8:18 am
Сообщений: 1294
Благодарил (а): 60 раз.
Поблагодарили: 49 раз.
Пункты репутации: 14
newJS писал(а):
Кто нить может подсказать как определить кусок кода на который антивирь будет ругаться.

Я думаю, только руками - вырезаешь или компилируешь отдельные процедуры и проверяешь.
Или как тут - клянешься и ешь землю, что вирусов нет и рекомендуешь добавить программу в исключения.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: Fake Sign или обман анализатора PEID
СообщениеДобавлено: Пт июн 26, 2015 5:43 am 
Не в сети
профессор

Зарегистрирован: Вт май 13, 2014 4:12 am
Сообщений: 652
Благодарил (а): 75 раз.
Поблагодарили: 20 раз.
Пункты репутации: 5
MrF писал(а):
Я думаю, только руками - вырезаешь или компилируешь отдельные процедуры и проверяешь.

Тоже так мыслил.
Поставил я эту авиту на полигоне, а она, сволочь такая, ни чего не находит.

MrF писал(а):
Или как тут -

Ахренеть....


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: Fake Sign или обман анализатора PEID
СообщениеДобавлено: Пт июн 26, 2015 9:15 am 
Не в сети
профессор

Зарегистрирован: Чт сен 22, 2011 6:21 pm
Сообщений: 238
Благодарил (а): 32 раз.
Поблагодарили: 22 раз.
Пункты репутации: 0
Или как тут: http://purebasic.info/phpBB3ex/viewtopic.php?f=10&t=4166&start=15#p80003
пишешь нормальный код и не паришься за антивирусы.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: Fake Sign или обман анализатора PEID
СообщениеДобавлено: Сб июн 27, 2015 7:31 am 
Не в сети
профессор

Зарегистрирован: Вт май 13, 2014 4:12 am
Сообщений: 652
Благодарил (а): 75 раз.
Поблагодарили: 20 раз.
Пункты репутации: 5
Kuzmat ты бы серьёзную статью написал бы, с полным перечнем опасностей и кучей рекомендаций.
А то вот это как то не серьёзно, а дальше то что?
Цитата:
3) Минимизация количества "опасных" функций.

Для полной серьёзности ещё бы написать в чём же опасность этих функций, и в чём видится опасность того или иного.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: Fake Sign или обман анализатора PEID
СообщениеДобавлено: Пн июн 29, 2015 6:19 am 
Не в сети
профессор

Зарегистрирован: Чт сен 22, 2011 6:21 pm
Сообщений: 238
Благодарил (а): 32 раз.
Поблагодарили: 22 раз.
Пункты репутации: 0
newJS писал(а):
Kuzmat ты бы серьёзную статью написал бы, с полным перечнем опасностей и кучей рекомендаций.
я не писатель, и мои исследования не имеют академической ценности, просто делился тем, что удалось нарыть и наэксперементировать (могут присутствовать некорректные выводы)

newJS писал(а):
Цитата:
3) Минимизация количества "опасных" функций.

Для полной серьёзности ещё бы написать в чём же опасность этих функций, и в чём видится опасность того или иного.

А вы представьте, что антивирус это вы :D, и к вам попала неизвестная прога, полный алгоритм ее работы вычислить не представляется возможным (нет времени, да и сложно очень) зато есть список всех используемых функций (из заголовка проги), а так-же параметры с которыми они вызываются (из трассировки/эмуляции/виртуализации - словом из фиктивного запуска), на что вы обратите внимание?
Естественно это: работа с файлами (а так-же путь этих файлов, согласитесь странно если прога открывает на запись файлы в папке Windows, например), работа с реестром, и конкретные его разделы (кому понравится прописывание, например чего-то в авто запуск), работа с сетью, опасные системные вызовы (например манипуляции с правами доступа, или доступ к другим процессам, особенно системным)
имхо все очевидно, если подумать
(но 3 пункт моего писания касался особенности PB "инлайнить" системные вызова, и как результат повышать потенциальную подозрительность программы (она похожа на написанную на асемблере), и как этого избежать)


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: Fake Sign или обман анализатора PEID
СообщениеДобавлено: Чт сен 03, 2015 6:39 pm 
Не в сети
профессор

Зарегистрирован: Вс июн 10, 2012 8:18 am
Сообщений: 1294
Благодарил (а): 60 раз.
Поблагодарили: 49 раз.
Пункты репутации: 14
Обновил первый пост. Добавил антиотладку и сокрытие точки входа.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: Fake Sign или обман анализатора PEID
СообщениеДобавлено: Чт сен 03, 2015 7:46 pm 
Не в сети
профессор

Зарегистрирован: Пт фев 20, 2009 12:57 pm
Сообщений: 1688
Откуда: Алматы
Благодарил (а): 14 раз.
Поблагодарили: 46 раз.
Пункты репутации: 5
я вроде почти все службы более менее антивирусов нашел и "договорился". маккадафи остался... что-то не пойму я как туда слать. там через сам антивирус только можно чтоль? и то при условии что он лицензионный? почту какую-то находил - слал, безрезультатно.

сам я причем балдею от некоторых самих антивирусных компаний: шлите нам вирусы или сэмплы с ложным срабатыванием на почту. потом выясняется что их почта на абонплате в жмейл, а он не жрет архивы с паролями, архивы без паролей но с вирусами, просто файл вируса. анекдот епрс...


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: Fake Sign или обман анализатора PEID
СообщениеДобавлено: Чт сен 03, 2015 8:03 pm 
Не в сети
МОДЕРАТОР

Зарегистрирован: Вт дек 05, 2006 8:46 am
Сообщений: 6356
Благодарил (а): 20 раз.
Поблагодарили: 194 раз.
Пункты репутации: 48
MrF писал(а):
Обновил первый пост. Добавил антиотладку и сокрытие точки входа.

Что то не работает. В архиве оригинальный файл, который запускается и два "антиотлаженных".
Ни работают.


Вложения:
MyProgramm.zip [20.04 KiB]
Скачиваний: 98

_________________
read-only
Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: Fake Sign или обман анализатора PEID
СообщениеДобавлено: Чт сен 03, 2015 9:38 pm 
Не в сети
профессор

Зарегистрирован: Вс июн 10, 2012 8:18 am
Сообщений: 1294
Благодарил (а): 60 раз.
Поблагодарили: 49 раз.
Пункты репутации: 14
kvitaliy писал(а):
В архиве оригинальный файл, который запускается и два "антиотлаженных".

А как ты их получил? Вообще же не валидные РЕ файлы: ни импорта, ни секций. И размер отличается.

Вот пример работы и скомпиленная программа.
Забыл сказать, что с упаковщиками работает, но не со всеми. Еще не разбирался почему.


Вложения:
FakeSign v.0.2.rar [25.09 KiB]
Скачиваний: 97
win fakeUPX.rar [18.16 KiB]
Скачиваний: 92
Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: Fake Sign или обман анализатора PEID
СообщениеДобавлено: Чт сен 03, 2015 9:57 pm 
Не в сети
МОДЕРАТОР

Зарегистрирован: Вт дек 05, 2006 8:46 am
Сообщений: 6356
Благодарил (а): 20 раз.
Поблагодарили: 194 раз.
Пункты репутации: 48
MrF писал(а):
А как ты их получил? Вообще же не валидные РЕ файлы: ни импорта, ни секций. И размер отличается.


Взял твой код Fake Sign v 0.2 (Hide EP, AntiDBG) , скомпилировал и натравил на файл win.exe, а то что получилось это результат работы твоей программы :lol:
MrF писал(а):
Вот пример работы и скомпиленная программа.


У твоего результата тоже размер отличается и программа не запускается. В чем профит?

_________________
read-only


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: Fake Sign или обман анализатора PEID
СообщениеДобавлено: Чт сен 03, 2015 10:23 pm 
Не в сети
профессор

Зарегистрирован: Вс июн 10, 2012 8:18 am
Сообщений: 1294
Благодарил (а): 60 раз.
Поблагодарили: 49 раз.
Пункты репутации: 14
kvitaliy писал(а):
Взял твой код Fake Sign v 0.2 (Hide EP, AntiDBG) , скомпилировал и натравил на файл win.exe, а то что получилось это результат работы твоей программы :lol:

Ну хз, у меня все нормально работает. Может кто еще потестит? А ты программу не в юникоде компилишь?
Правда на .net приложениях еще не проверял.

kvitaliy писал(а):
У твоего результата тоже размер отличается

Но не на 11 же килобайт :D

kvitaliy писал(а):
и программа не запускается

Возможно, косяк в твоей системе, антивирус, фаервол или еще что-то, хотя АВ не ругаются https://www.virustotal.com/en/file/bef0 ... 441307425/
Попробуй на виртуалке.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: Fake Sign или обман анализатора PEID
СообщениеДобавлено: Чт сен 03, 2015 11:00 pm 
Не в сети
МОДЕРАТОР

Зарегистрирован: Вт дек 05, 2006 8:46 am
Сообщений: 6356
Благодарил (а): 20 раз.
Поблагодарили: 194 раз.
Пункты репутации: 48
MrF писал(а):
Возможно, косяк в твоей системе, антивирус, фаервол или еще что-то, хотя АВ не ругаются https://www.virustotal.com/en/file/bef0 ... 441307425/
Попробуй на виртуалке.

Ты пойми, что если у меня запускается нормально мои скомпилированные файлы в PB, и все остальные exe, а после твоего кода на запускаются, то как косяк может быть в системе? Косяк в кривом файле.
Когда срабатывает антивирус, то он об этом сообщает. А тут нет ни каких сообщений, просто нет окна, нет его в процессах.
Вот ещё файл, скомпилированный в 5.11 и обработанный твоей прогой из твоего вложения, UPX режим. Тоже не запускается у меня.


Вложения:
win531.exe.zip [11.25 KiB]
Скачиваний: 88

_________________
read-only
Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: Fake Sign или обман анализатора PEID
СообщениеДобавлено: Чт сен 03, 2015 11:43 pm 
Не в сети
профессор

Зарегистрирован: Вс июн 10, 2012 8:18 am
Сообщений: 1294
Благодарил (а): 60 раз.
Поблагодарили: 49 раз.
Пункты репутации: 14
kvitaliy писал(а):
Ты пойми, что если у меня запускается нормально мои скомпилированные файлы в PB, и все остальные exe, а после твоего кода на запускаются, то как косяк может быть в системе?

Я бы признал косяк в программе, если бы у меня за время тестов программа так над файлами издевалась. Но нет, все работает.

kvitaliy писал(а):
Когда срабатывает антивирус, то он об этом сообщает.

Не всегда. Часто ав хукает апи, да так что отладчик ведет себя не предсказуемо, к примеру.

kvitaliy писал(а):
Вот ещё файл, скомпилированный в 5.11 и обработанный твоей прогой из твоего вложения, UPX режим. Тоже не запускается у меня.

У меня запускает.

У тебя какая система? Я только на 7 тестил.

зы: Я так понял, у тебя 8 или 10? Сейчас на 10 потестил - не запускается с антиотладкой. Работает в том случае, если совместимость с 7 поставить, но это не вариант. Ладно, исправим.


Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  [ Сообщений: 22 ]  На страницу 1, 2  След.

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 2


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group (блог о phpBB)
Сборка создана CMSart Studio
Русская поддержка phpBB