Vollständige Version anzeigen : DFind modden?!


Grille
04.01.2006, 03:29

hey,

hab mal ne kleine Frage,
mir wurde im IRC erzählt des es durchaus möglich ist DFind zu
modden, so dass das prog nicht von der AV erkannt wird.
Allerdings wurde mir nicht erzählt wie das geht ;)
Hab mal bei google nen wenig geguckt, aber nix brauchbares
gefunden.
Wollt mal wissen, ob einer von euch mir da weiterhelfen kann.
Kann auch per PM oder IRC sein. ;)


greetz


rezzer
04.01.2006, 03:48

Moin,
Also meiner meinung nach wird dfind eigendlich so gut wie nirgendwo
als virus erkannt ! Wenn du den noch das programm "modden" willst
musst du da mit nem hex editor rann. Ich benutze meistens UltraEdit-32
da mit habe ich gute erfahrungen. Aber es ist sehr sehr schwer sowas zu
machen und du kannst
1. Alles bei googel über Programm strukturen und stealthn von trojanern
durch lesen (das ist meistens das gleiche!)

oder

2. Du kannst es vergessen !!

Das wird auf jeden fall nicht einfach sag ich dir !!


mfg

rezzer


Grille
04.01.2006, 04:42

Ähnliche Themen: Dfind\dfind.exe -ftp also ich entschuldige mich schonmal im vorraus wenn ich das thema zum 4 mal aufmache, aber ich hab mit der sufu nix gefunden. frage: kann[...]
Was ist mit Dfind los? Mein problem: ---------------------------------------------------------------------------- COMMAND: dfind-exe -p 21 106_0_0_0 106_0_0_2[...]
DFind modden?!
Also auf dem einem scanny, wo ich das porg geupped hab,
wird es sofort gelöscht.
Mh_-oke, werde mal bisschen umgucken, ob ich was finde.
Scheint ja ne Menge Aufwand zu sein_.


xodox
04.01.2006, 10:26

Du könntest auch einfach versuchen das Programm zu packen, so dass es nur während der Laufzeit in den Speichergeladen wird.
programmerstools-org - de beste bron van informatie over programmerstools. Deze website is te koop! (_programmerstools-org/taxonomy/term/15)

packman ist ganz nett


phraser
04.01.2006, 15:40

Original von rezzer
Moin,
Also meiner meinung nach wird dfind eigendlich so gut wie nirgendwo
als virus erkannt ! Wenn du den noch das programm "modden" willst
musst du da mit nem hex editor rann. Ich benutze meistens UltraEdit-32
da mit habe ich gute erfahrungen. Aber es ist sehr sehr schwer sowas zu
machen und du kannst
1. Alles bei googel über Programm strukturen und stealthn von trojanern
durch lesen (das ist meistens das gleiche!)

oder

2. Du kannst es vergessen !!

Das wird auf jeden fall nicht einfach sag ich dir !!


mfg

rezzer

versuch mal den quellcode,der vom av erkannt wird,per HEXEDITOR umzuschreiben!Wenn dus schaffst,bist du mein gott ;) ;)
naja gehen sollte es nur,wenn du den originalen quellcode hast,oder wie xodox sagte,es mal zu packen!


rezzer
04.01.2006, 16:25

Moin,


Die Anti viren programme identifizieren doch nicht direkt den code (das wäre viel zu langsam) sondern erstellen MD5 Cheksummen und vergleichen Sie mit den Virus Checksummen. Mit nem hex editor kannst Du die cheksummen verändern und dadurch den code unsichtbar machen_..

Also was willst du mit dem Quellcode ?

Kappiere ich net_..


mfg

rezzer


phraser
04.01.2006, 16:27

Original von rezzer
Moin,


Die Anti viren programme identifizieren doch nicht direkt den code (das wäre viel zu langsam) sondern erstellen MD5 Cheksummen und vergleichen Sie mit den Virus Checksummen. Mit nem hex editor kannst Du die cheksummen verändern und dadurch den code unsichtbar machen_..

Also was willst du mit dem Quellcode ?

Kappiere ich net_..


mfg

rezzer
die neuen avs haben andere engines!
Mit dem quellcode,kann man den codeteil umschreiben,den der av erkennt!


rezzer
04.01.2006, 16:31

ja das wäre die eine möglich keit die aber in
meinen augen wesentlich schwieriger scheint.


Mit der Hex methode veränderst du die Datei ja nicht
selbst sondern nur die MD5 check summe die dann
von den meisten av´s nicht mehr erkannt wird!

Bei mir hat sich diese methode mehr als oft
gut bewert (besonders bei RAT´s)

PS: Die neuen AV´s arbeiten auch nach der methode
nur machne leider nicht mehr!! Dann sollte mann es
so machen wie du es sagtest!

mfg

rezzer


phraser
04.01.2006, 16:53

genug gestritten??
dann mach ich hier mal dicht!




raid-rush.ws | Imprint & Contact pr