Modyfikowanie sygnatury.

H

HKN

Użytkownik
Dołączył
Listopad 13, 2008
Posty
46
'Mały update'.. duży problem..
Otóż znalazłem sygnaturkę w Kasperskim :

Sygnaturka w bajcie : 9967
9967 = 26EF
PeID = 32EE - 26EE = C00
26EF + C00 = 32EF

Adres w DeFixed: 004032EF


004032EE PUSH EBP
004032EF MOV EBP,ESP
004032F1 PUSH -1
004032F3 PUSH 00404330

Zmienilem na :

004032EE PUSH EBP
004032EF PUSH -1
004032F1 MOV EBP,ESP
004032F3 PUSH 00404330

Dalej wykrywa, nawet jak dalem z 15 instrukcji w dół i w górę na NOP albo w WinHexie na 00 spory obszar to i tak wykrywa w nieszczęsnym bajcie 9967 - jak to możliwe, skoro tam nic nie ma.. ?
 
T

thc_flow

Zbanowany
Dołączył
Listopad 13, 2008
Posty
649
Klepiesz nie wiadomo o czym, w czym zmieniłeś, w kasperskym? Używasz skrótów myślowych, przemyśl co chcesz napisać zanim to wpalcujesz na forum. Wyjaśnij w czym problem.

//BTW - masz opcję edytuj posta, a nie doklejasz drugi pod spodem, to nie czat...
 
proxima

proxima

Były Moderator
Dołączył
Marzec 9, 2007
Posty
651
@THC Flow, opcja edytuj od niedawna jest blokowana po 6h od napisania posta. Masz o tym na forum
<
 
H

HKN

Użytkownik
Dołączył
Listopad 13, 2008
Posty
46
<div class='quotetop'>CYTAT(THC Flow @ 12.04.2009, 15:43) <{POST_SNAPBACK}></div>
Klepiesz nie wiadomo o czym, w czym zmieniłeś, w kasperskym? Używasz skrótów myślowych, przemyśl co chcesz napisać zanim to wpalcujesz na forum. Wyjaśnij w czym problem.[/b]
Kliknij aby rozwinąć...

Widze ze za duzo przebywasz w towarzystwie kolezanki Marii.
Czego nie rozumiesz ? Mam wyjasniac jak malemu dziecku.. ? OK ; o
Sygnaturka znaduje sie w bajcie 9967, po wyliczeniu odpowiedniego adresu w debuggerze znajduja sie instrukcje opisane wyżej, jednak po dokonaniu zmian bajt 9967 jest nadal wykrywalny, wiec wyzerowalem spory obszar (przed i po bajcie nr. 9967) w WinHexie lub w DeFixed spory obszar instrukcji zamienilem na NOP, po zapisaniu pliku bajt 9967 jest nadal wykrywalny co jest dziwne, przeciez po wyzerowaniu instrukcji tam 'nic nie ma'..
 
Legalnl

Legalnl

Użytkownik
Dołączył
Październik 8, 2008
Posty
828
przecież baza sygnatur to obecnie podstawowa metoda sprawdzania wirusów, choćby analiza heurystyczna, rożnego typu algorytmy itp
 
U

untam3d

Użytkownik
Dołączył
Październik 2, 2009
Posty
36
bardzo możliwe że Kaspersky używa akurat w tym miejscu sygnatury Wildcardy, tudzież bajty działające na zasadzie karty Joker. Przykładowo sygnatura:
112233??44
Bedzie pasowac dla sygnatur 1122330044-112233FF44
O Wildcardach to juz doczytaj.
 
You must log in or register to reply here.
Do góry Bottom