Часто бывает, что паблик трои палятся антивирусом, чистяк либо не вышел, либо автор просит за него денюжку, а стряпать свой трой влом либо вообще
не умеешь 🙂 Что же делать? Нужно доказать антивирусу, что проверяемый трой вовсе не трой. Доказать можно двумя способами: либо поковырявшись в трое дизассемблером или исходниках (при их наличии), либо заюзав специальные проги (с помощью них ты сможешь обработать "палёный" образец так, что антивирусы будут молчать как партизаны при проверке обработанного файла), которые не требуют от нас специфических знаний. Вот с прогами мы и познакомимся поближе. А исходники и дизассемблер оставим для профи 🙂
Упаковщики
Немного отступления. Как антивирусы распознают
в файле вирь? Они сравнивают часть кода файла со своей базой и если он совпадает, значит найден вирус. А если не совпадает, то виря нет. Правда есть такая штука, как
эвристический анализ файла. Но он, мягко говоря, работает неважно. Если файл запакован, то антивирус пытается определить упаковщик и распаковать файл, а потом уж проверить его код. Значит, если запаковать файл
неизвестным антивирусу запаковщиком, то распаковать он его не сможет. Вот тут за дело возьмётся эвристический анализатор, который лажанёт и не найдёт ничего подозрительного 🙂
NeoLite
Одним из таких упаковщиков является NeoLite. Если им запаковать трой, то некоторые антивирусы не смогут распаковать его и даже не вякнут при сканировании обработанного упаковщиком файла 🙂
Но есть масса минусов:
- Степень сжатия этим упаковщиком на порядок ниже, чем у UPX и некоторых других
- Этот упаковщик наотрез не хочет паковать слишком маленькие файлы (мой трой, весящий 20 кило он так и не захотел упаковать, ссылаясь на то, что файл и так маленький. Зачем его паковать? 🙂 )
- Этот упаковщик есть в базе Каспера. Поэтому Каспер без труда определяет вири в файлах, упакованных NeoLite'ом. Доктор Вэб этого упаковщика
не знает. - Нужно работать с незапакованным троем
Но если ты сможешь найти упаковщик, который не находится в базе антивирусов, то считай, что тебе крупно повезло.
Домашняя страница: не работает. Юзай поисковик.
Hide PE
Эта прога подменяет информацию о реальном компиляторе на иную, то есть взломщик будет думать, что ваш файл защищен ASProtect или VBOX, а на самом деле он запакован просто с использованием UPX или иного упаковщика.
Это нам поможет, так же как и в случае с
неизвестным антивирю запаковщиком: антивирь просто не сможет распаковать файл.
Но здесь есть минусы:
- Эта прога оставляет в файле свою метку. Поэтому некоторые антивирусы (например, Касперский) без труда могут определить чем же запакован файл. А вот Доктор Вэб
не может. - Hide PE работает нормально не со всеми упаковщиками. С UPX она ладит замечательно, а, например, с моим любимым FSG отказывается нормально работать: после прогона через неё троя он перестаёт запускаться, ссылаясь на какие-то ошибки.
Домашняя страница: http://bgcorp.narod.ru
Stealth PE
Основное назначение Stealth PE - скрыть от взломщика
информацию о программе, ее компиляторе. Если программа была предварительно
упакована с помощью ASPack, UPX, PECompact и других, то после обработки такого
файла с помощью Stealth PE будет практически невозможно определить чем упакована
программа, а также распаковать её даже специальными автоматическими
распаковщиками. Если скрыть инфу о запаковщике, то антивирус не сможет распаковать файл.
Так как создатели этой проги те же, что и проги Hide PE, то минусы этой проги абсолютно такие же, как и у Hide PE
Pe-patcher
PE-patcher изменяет исполняемый код другой программы, прописывая ассемблерный код в промежутках программных секций. Таким образом, размер файла не увеличивается. PE-patcher меняет точку входа программы на точку входа нового ассемблерного кода. Новый код выполняется, после чего передает управление реальной точке входа программы.
Минусы:
- Версия 1.0 этой проги смогла замаскировать трой только от Каспера. От Доктора Вэба она не спасла.
- Программа является платной. Но доступна в демо-режиме.
- Ещё один минус: порой не хочет работать с упакованными файлами.
Домашняя страница: http://programs.fatal.ru
Avx!AVSpoffer
Воистину замечательная программа! Её прямое назначение как раз в том, чтобы замаскировать вирь от антивирусов. Весит всего ничего, а работает "на ура"! К тому же автор следит за антивирусами и если он замечает, что какой-то антивирусник уже умеет обходить заслоны, поставленные этой прогой, то выпускается свежая версия программы. В общем, свежая версия программы выходит частенько, так как у автора есть большие замыслы насчёт
усовершенствования этой проги, которые он потихоньку воплощает в жизнь с каждой версией.
Программа работает как с запакованными так и не запакованными файлами.
Из минусов я бы отметил разве что:
- Многова-то байт приписывает к подопытным файлам: 4549 байт
В остальном - только плюсы.
Домашняя страница: www.fi7.net
Заключение
Лично я для маскировки троев от антивирусов использую все программы (ну или обязательно парочку из них) вместе. Результатом я доволен: файлы троя функционируют
нормально и не распознаются антивирусами. Небольшой совет: после обработки файла прогами убедитесь, что файл нормально функционирует. Иногда после обработки
файлы отказывались запускаться.
