|
| |
|
|
Ответов: 0
|
25-02-12 07:01
|
|
|
| |
|
|
Ответов: 0
|
16-01-12 20:13
|
|
|
| |
|
|
Ответов: 1
|
09-01-12 11:23
|
|
|
Возможно вас заинтересует
|
|
Защита от трассировки и антивирусов
Обман антивирусов
На практике обман антивируса не такое уж и сложное дело. Я написал простой "вирус-пробник" и на нем испытывал различные уловки для разных антивирусов. И вот что у меня получилось : Doctor WEB v4.05Допустим мы написали COM-вирус, который работает по следующей схеме : ищем все файлы (*.*) проверяем расширение на COM заражаем, если COM
За это будет отвечать приблизительно такой участок кода :
; SI = offset расширения
lodsw
cmp AX,'OC'
jne NOT_COM
lodsb
cmp AL,'M'
jne NOT_COM
COM:
Если заменить вышеприведенное нижеприведенным, то DrWeb v4.05 на это приведенное ругаться не будет :
; SI = offset расширения
lodsw
inc AX
cmp AX,'OD'
jne NOT_COM
lodsb
inc AL
cmp AL,'N'
jne NOT_COM
COM:
Этот же прием можно использовать при проверке найденного COM'а на COMMAND.COM.
Следующий трюк подходит только для тех компьютеров, которые оборудованы жестким диском. Если, кстати, такового нет, то зачем вообще вирусу работать дальше (в общем случае) ? Следующие строчки не определяются Web'ом как вирусные :
int 11h
and AX,1
add byte ptr FILE_MASK[+4],AL
...
FILE_MASK db '*.COL',0
После INT 11h в AX мы получаем так называемый Equipment List (список оборудования). Первый бит показывает наличие "винчестера".
Для получения различных значений, неизвестных антивирусу, можно использовать так называемые "неочевидности". Например, следующий участок кода антивирусу ничего не говорит, поэтому только мы знаем, что получится после его выполнения.
mov AH,32h - функция DOS : получить параметры диска
mov DL,0FFh
int 21h
Если на компьютере нет диска N 255, то AL=0FFh. Вряд ли антивирус знает об этом. Недостаток именно этого фокуса в том, что данная функция является недокументированной, а некоторые антивирусы (TBAV, например) реагируют на ее вызов. А вообще советую поэкспериментировать с подобными приколами.
|
Последние статьи: IT - Обзор / Разное /
| |
| | |
|
Корпорация Microsoft накануне опубликовала полные исходные коды функционального языка программирования F#. Компания сделала вторую версию языка F# полностью открытой, включая исходники компиляторов и ключевых библиотек по условиям лицензии Apache 2.0.... подробнее
|
|
Кол. просмотров: общее - 6354 сегодня - 0
|
|
|
VIC Ltd представила портативны компьютер для автомобиля NaviSurfer II. Отличительная особенность новинки заключается в том, что она устанавливается на место однодиновой автомагнитолы.... подробнее
|
|
Кол. просмотров: общее - 4702 сегодня - 0
|
|
|
Наверное всем известны файлы с расширением COM. Главным COM файлом на ПК является вездесущий command.com (командный файл DOS) . Что же такое COM файл, как он работает и запускается... подробнее
|
|
Кол. просмотров: общее - 5605 сегодня - 0
|
|
|
Здравствуйте, дорогие мои VX-еры и AV-еры (если прочитаете...) В этой маленькой, но очень познавательной статье хочу рассказать вам как можно скрыть свое вирусное детище от супер-мощных-современных антивирусных программ... подробнее
|
|
Кол. просмотров: общее - 5444 сегодня - 0
|
|
|
На практике обман антивируса не такое уж и сложное дело. Я написал простой вирус-пробник и на нем испытывал различные уловки для разных антивирусов. И вот что у меня получилось... подробнее
|
|
Кол. просмотров: общее - 4697 сегодня - 0
|
|
|
|
