Zmniejszanie wykrywalności

[Gelio]

Witam.

Ostatnio napisałem prostego wirusa-zabawkę, który zmienia pozycje myszy, chowa ją, bądź "zamraża". Wszystko działa, ale po przeskanowaniu okazało się, że 7/40 antywirusów go wykrywa. Poszukałem na internecie i znalazłem coś o dodawaniu niepotrzebnego, badziewnego i bezsensownego kodu, np.:

if(5 == 2)
    char a = '2';
else
    char b = '3';

Poszedłem tym śladem i dodałem ponad 100 linijek takiego badziewia (wirus najpierw miał 200 linijek). Sprawdzam, i... Wynik ten sam, 7/40 (link do skana, nie zwracajcie uwagi na wielkość pliku - dodałem stałą bitmapę do środka kodu).

Tutaj pytanie do Was - jak zmniejszyć wykrywalność wirusa? Nie mam już pomysłów jak to zrobić. Najlepiej prosiłbym o przykład.

Pozdrawiam,
Gelio

 

[0wn3r]

Modyfikacja sygnatur, używanie packerów(np. UPX). Jest tego pełno, wystarczy poszukać.

 

[Legalnl]

jezeli jest to trojan, to spróbuj napisać go w oparciu o cos innego nic sockety

 

[Gelio]

@Legalnl
To nie jest trojan, zwykły wirus, który blokuje myszkę + lata nią po ekranie.

@0wn3r
Dobrze, spróbowałem UPX (pierwszy, który znalazłem akurat w google). Uruchomiłem (upx.exe wirus.exe), pokazała się konsola i po chwili plik się zmniejszył. Przeskanowałem, ale wynik się nie polepszył. Nie wiem, może złą komendę użyłem.

Co do modyfikacji sygnatur - możesz powiedzieć co to takiego jest? Szukałem na internecie, ale nic sensownego nie znalazłem, poza tym, że to jest (chyba) jakaś zmienna lub struktura.

Pozdrawiam,
Gelio

@0wn3r
Dzięki, tego szukałem.

@Boobie
Czytałem i jakoś nic nie było o tym, z tego, co pamiętam.

 

[0wn3r]

Co do modyfikacji sygnatur - możesz powiedzieć co to takiego jest? Szukałem na internecie, ale nic sensownego nie znalazłem, poza tym, że to jest (chyba) jakaś zmienna lub struktura.

Modyfikowanie sygnatury to zmienianie pewnych wartości w sekcjach pliku, itp.
Tutaj masz link do pewnego tutoriala:
http://haker.com.pl/showthread.php?t=14734


Pozdrawiam.

 

[Boobie]

A może jeszcze:

[B]C++. Elementarz hakera[/B]