Vollständige Version anzeigen : DFind modden?!
hey,
hab mal ne kleine Frage,
mir wurde im IRC erzählt des es durchaus möglich ist DFind zu
modden, so dass das prog nicht von der AV erkannt wird.
Allerdings wurde mir nicht erzählt wie das geht ;)
Hab mal bei google nen wenig geguckt, aber nix brauchbares
gefunden.
Wollt mal wissen, ob einer von euch mir da weiterhelfen kann.
Kann auch per PM oder IRC sein. ;)
greetz
Moin,
Also meiner meinung nach wird dfind eigendlich so gut wie nirgendwo
als virus erkannt ! Wenn du den noch das programm "modden" willst
musst du da mit nem hex editor rann. Ich benutze meistens UltraEdit-32
da mit habe ich gute erfahrungen. Aber es ist sehr sehr schwer sowas zu
machen und du kannst
1. Alles bei googel über Programm strukturen und stealthn von trojanern
durch lesen (das ist meistens das gleiche!)
oder
2. Du kannst es vergessen !!
Das wird auf jeden fall nicht einfach sag ich dir !!
mfg
rezzer
Also auf dem einem scanny, wo ich das porg geupped hab,
wird es sofort gelöscht.
Mh_-oke, werde mal bisschen umgucken, ob ich was finde.
Scheint ja ne Menge Aufwand zu sein_.
Du könntest auch einfach versuchen das Programm zu packen, so dass es nur während der Laufzeit in den Speichergeladen wird.
_programmerstools-org/taxonomy/term/15
packman ist ganz nett
DFind modden?!
Original von rezzer
Moin,
Also meiner meinung nach wird dfind eigendlich so gut wie nirgendwo
als virus erkannt ! Wenn du den noch das programm "modden" willst
musst du da mit nem hex editor rann. Ich benutze meistens UltraEdit-32
da mit habe ich gute erfahrungen. Aber es ist sehr sehr schwer sowas zu
machen und du kannst
1. Alles bei googel über Programm strukturen und stealthn von trojanern
durch lesen (das ist meistens das gleiche!)
oder
2. Du kannst es vergessen !!
Das wird auf jeden fall nicht einfach sag ich dir !!
mfg
rezzer
versuch mal den quellcode,der vom av erkannt wird,per HEXEDITOR umzuschreiben!Wenn dus schaffst,bist du mein gott ;) ;)
naja gehen sollte es nur,wenn du den originalen quellcode hast,oder wie xodox sagte,es mal zu packen!
Moin,
Die Anti viren programme identifizieren doch nicht direkt den code (das wäre viel zu langsam) sondern erstellen MD5 Cheksummen und vergleichen Sie mit den Virus Checksummen. Mit nem hex editor kannst Du die cheksummen verändern und dadurch den code unsichtbar machen_..
Also was willst du mit dem Quellcode ?
Kappiere ich net_..
mfg
rezzer
Original von rezzer
Moin,
Die Anti viren programme identifizieren doch nicht direkt den code (das wäre viel zu langsam) sondern erstellen MD5 Cheksummen und vergleichen Sie mit den Virus Checksummen. Mit nem hex editor kannst Du die cheksummen verändern und dadurch den code unsichtbar machen_..
Also was willst du mit dem Quellcode ?
Kappiere ich net_..
mfg
rezzer
die neuen avs haben andere engines!
Mit dem quellcode,kann man den codeteil umschreiben,den der av erkennt!
ja das wäre die eine möglich keit die aber in
meinen augen wesentlich schwieriger scheint.
Mit der Hex methode veränderst du die Datei ja nicht
selbst sondern nur die MD5 check summe die dann
von den meisten av´s nicht mehr erkannt wird!
Bei mir hat sich diese methode mehr als oft
gut bewert (besonders bei RAT´s)
PS: Die neuen AV´s arbeiten auch nach der methode
nur machne leider nicht mehr!! Dann sollte mann es
so machen wie du es sagtest!
mfg
rezzer
genug gestritten??
dann mach ich hier mal dicht!