Пакуй, не пакуй

Небагато відступу. Як антивіруси розпізнають у файлі вір? Вони порівнюють частину коду файлу зі своєю базою і якщо він збігається, то знайдено вірус. А якщо не збігається, то віря немає. Правда є така штука, як евристичний аналіз файлу. Але він працює неважливо. Якщо файл запакований, то антивірус намагається визначити пакувальник і розпакувати файл, а потім перевірити його код. Значить, якщо запакувати файл невідомим антивірусу запаковщиком, то розпакувати його не зможе. Ось тут за справу візьметься евристичний аналізатор, який лажане і не знайде нічого підозрілого 🙂

Одним із таких пакувальників є NeoLite. Якщо їм запакувати троє, то деякі антивіруси не зможуть розпакувати його і навіть не в'януть при скануванні обробленого пакувальником файлу 🙂 Але є маса мінусів:

  • Ступінь стиснення цим пакувальником на порядок нижче, ніж у UPX та деяких інших
  • Цей пакувальник навідріз не хоче пакувати занадто маленькі файли (мій троє, що важить 20 кіло він так і не захотів упаковати, посилаючись на те, що файл і так маленький. Навіщо його пакувати? & amp;
  • Цей пакувальник є у базі Каспера. Тому Каспер легко визначає вірі у файлах, упакованих NeoLite'ом. Доктор Веб цього пакувальника не знає.
  • Потрібно працювати із незапакованим троєм

Але якщо ти зможеш знайти пакувальник, який не знаходиться в базі антивірусів, то вважай, що тобі пощастило.

Домашня сторінка: не працює. Юзай пошуковик.

Ця прога підміняє інформацію про реальний компілятор на іншу, тобто зломщик думатиме, що ваш файл захищений ASProtect або VBOX, а насправді він запакований просто з використанням UPX або іншого пакувальника.

Це нам допоможе, так само як і у випадку з невідомим антивіру запаковщиком: антивір просто не зможе розпакувати файл.

Але тут є мінуси:

  • Ця прога залишає у файлі свою мітку. Тому деякі антивіруси (наприклад, Касперський) легко можуть визначити чим же запакований файл. А ось Доктор Веб не може.
  • Hide PE працює нормально не з усіма пакувальниками. З UPX вона ладнає чудово, а, наприклад, з моїм коханим FSG відмовляється нормально працювати: після прогону через неї троє він перестає запускатися, посилаючись на якісь помилки.

Основне призначення Stealth PE — приховати від зломщика інформацію про програму, її компілятор. Якщо програма була попередньо упакована за допомогою ASPack, UPX, PECompact та інших, то після обробки такого файлу за допомогою Stealth PE буде практично неможливо визначити, чим упакована програма, а також розпакувати її навіть спеціальними автоматичними >розпакувальниками. Якщо приховати інформацію про упаковщика, то антивірус не зможе розпакувати файл. Оскільки творці цієї проги ті ж, що і проги Hide PE, то мінуси цієї проги абсолютно такі ж, як і в Hide PE

PE-patcher змінює виконуваний код іншої програми, прописуючи асемблерний код у проміжках програмних секцій. Таким чином, розмір файлу не збільшується. PE-patcher змінює точку входу програми на точку входу нового асемблерного коду. Новий код виконується, після чого передає керування реальною точкою входу програми.

  • Версія 1.0 цієї проги змогла замаскувати троє лише від Каспера. Від Лікаря Інтернету вона не врятувала.
  • Програма є платною. Але доступна у демо-режимі.
  • Ще один мінус: часом не хоче працювати з упакованими файлами.

З мінусів я бвідзначив хіба що:

  • Багато байт приписує до піддослідних файлів: 4549 байт

В іншому — лише плюси.

Особисто я для маскування троїв від антивірусів використовую всі програми (ну або обов'язково кілька з них) разом. Результатом я задоволений: файли троя функціонують нормально і не розпізнаються антивірусами. Невелика порада: після обробки файлу прогами переконайтеся, що файл функціонує нормально. Іноді після обробки файли відмовлялися запускатися.