Исходя из своих догадок и опыта попытаюсь объяснить принцип работы проги Av Devil от SEDDTO. Проверяя файл она создает какието тестовые .tmp файлы и если антивирус на них реагирует то продолжает поиски пока не дойдет до чистых значений. Вот так вот находятся сигнатуры... То есть работает даже на новых троянах и крипторах а также и с новыми антивирусами (хотя тут спорно, на моем KIS'е 7.0.0.125 не работал, а вот на Nod32 все норм... думаю на KAV будет рабить) Если разбемся... то поиски сигнатур можно будет сильно облегчить =)
я думаю я закончу ваш спор http://dlbaze.org/show_451.html и перевод примерный Описание: AV Devil используется, чтобы Сканировать в серверах RAT offsets. Можно обрабатывать ее позже в редакторе HEX и получать сервер таким образом
Ладно пх, выкладываю ссылку сразу на 3 версии AV Devil http://www.rapidshare.ru/558726 Статья на русском как юзать: http://blietzcrieg.front.ru/av1.html Разбираемся, о ваших успехах просьба отписаться в этой теме ^_^
бррр =\\\ открываете омереку ?))) http://st.biz.ly/sigs.html статейка по автоматическому поиску сигнатур =\\\ аля использование софтин по типу AV Devil, SignatureZero и т.п. P лукайте
Ooops забыл пароль сказать ПАСС НА АРХИВ avfuck вскоре выложу еще программ из этой темы, вообще их достаточно много, штук 5 мб наберется.. ждите
ну я вапче встречал сайты и форумы где сидят мазафакеры-реверсеры и вскрывают всю заразу кот находют... а птом сигнатуры собирают в "базы" и рассылают антивирусникам... на каком то форуме видел как припарировали покупные криптары, недогадываясь что у другой копии уже другие сигнатуры...
Продолжая тему Offsets Finders (Поисковики сигнатур) Прочитал я значит статейку Сталина ( http://st.biz.ly/sigs.html )... very good. Правда SignatureZero работает очень медленно по сравнению с Av Fucker 3 beta... Вот линк для ленивых пользуйтесь! http://rapidshare.com/files/87829367/AVFuckerbeta3.rar.html (пароль avfuck)
User312 супер... спасиб что дал почитать)) и спасибо Сталину! Lamia и тебе спасибо)) за маитериал полезный)
от каспера легко прятать он в основном по сигнатурап палит возми любой криптор который не так давно в паблике криптони им свой трой открой дизбалансером поменяй немного код не нарушая его работоспасобность и готово р.с возми к примеру криптор FreeCryptor 03 003 или SCrypt v.0.2.c