چگونه آنتی ویروس ها را گول بزنیم؟


--------------------------------------------------------------------------------

همانطور که می دانیم آنتی ویروس ها یا نرم افزارهای مشابه (نه آنهایی که به وضع شبکه توجه دارن&#1583 ویرو س ها ، تروجانها و غیره را با روش هایی از قبیل اندازه ی فایل ، اسم فایل و مهمتر از همه از بقیه

 

Header فایل تشخیص می دهند.

بنابراین زمانیکه ما یک فایل تشخیص داده شده داریم (فرضاً یک
trojan –server.exe)، آنتی ویروس آن را به این عنوان می شناسد: "backdoor / trojan xxx"

اما چگونه آنتی ویروس تشخیص را انجام می دهد؟

مهمترین کاری که آنتی ویروس انجام می دهد چک کردن
Header فا یل است. در اینجا، یک فایل .Exe داریم . چگونه آنتی ویروس تشخیص می دهد که آن یک Headerخطرناک است؟

آنتی ویروس به سادگی
Header فایل مورد نظر را با Header هایی که در virus definition Data base خود دارد مقایسه می کند.

بنابراین تنها کاری که باید برای گول زدن آنتی ویروس انجام دهیم تغییر
Header فایل مورد نظر است.

اگر ما این کار را به خوبی انجام دهیم آنتی ویروس با یک
Header جدید روبه رو خواهد شد. که در Data base آن موجود نیست ! بنابراین دیگر آن را تشخیص نخواهد داد. زیرا آنتی ویروس چیزهایی متفاوت با آنچه در فایل Virus Definition آنتی ویروس وجود دارد تشخیص خواهد داد.

چگونه
Header یک فایل اجرایی را تغییر دهیم؟

راه های بسیاری برای انجام چنین کاری پیش رو داریم ولی اغلب این راه نیازمند این هستند که شما یک برنامه نویس خوب باشید یا حداقل یک برنامه نویس. اما هنوز راه های ساده و واقعاً آسان برای شما وجود دارد .

آیا در مورد "
zip" چیزی می دانید؟

منظور رایج ترین روش فشرده سازی است. هدف این است که فشرده ساز ، یک نگاهی به فایل ما بیاندازد. ، مرور کند و اطلاعات موجود از فایل را با چیزهای دیگر (ولی مشاب&#1607 جایگزین کند.

در این من توضیحی در مورد چگونگی فشرده شدن یک فایل نخواهم داد. خودتان یاد بگیرید!

چیزی که می خواهم توجه شما را به آن جلب کنم این نکته است که پس از یک فرایند فشرده سازی
Header فایل تغییر خواهد کرد!!!

بله : من فایل را
zip خواهم کرد و آن را خواهم فرستاد یا کپی خواهم کرد!

اما در مورد زمان اجرا چه فکر خواهید کرد؟ بله ! آنتی ویروس فایل شما را خواهد بلعید! به همان سرعتی که فکر می کنید!

بنابراین ، فایل .
Exe را فشرده خواهیم ساخت.

ما آن را به .
zip یا هر چیز دیگری تغییر نخواهیم داد ما تنها اطلاعات داخل فایل را فشرده خواهیم ساخت. و پس از آن ، یک Header جدید خواهیم داشت که دارای یک سری پارامترهای متفاوت می باشد.

ما با معرفی یک ابزار جالب شروع خواهیم کرد :
UPX

.........................................

Ultimate Packer for eXecutables
Copyright © 1996, 1997, 1998, 1999, 2000, 2001, 2002
UPX 1.24w Markus F.X.J. Oberhumer & Laszlo Molnar Nov 7th 2002

Usage: upx [-123456789dlthVL] [-qvfk] [-o file] file..

Commands:
-1
compress faster -9 compress better
-
d decompress -l list compressed file
-
t test compressed file -V display version number
-
h give more help -L display software license
Options:
-
q be quiet -v be verbose
-
oFILE write output to `FILE'
-
f force compression of suspicious files
-
k keep backup files
file.. executables to (de)compress

This version supports: dos/exe, dos/com, dos/sys, djgpp2/coff, watcom/le,
win32/pe, rtm32/pe, tmt/adam, atari/tos, linux/386

UPX comes with ABSOLUTELY NO WARRANTY; for details type `upx -L'.


==========================







همان طورکه دیدید این وسیله یک «فشرده ساز برای فایل های اجرایی» است درست همان وسیله ای که ما نیاز داریم , آن را توضیح می دهم!

تصور کنید ما تروجانی داریم که آنتی ویروس آن را تشخیص می دهد.


Directory of C:\

11/07/2002 02:13
PM 94,208 UPX.EXE
12/15/2003 11:50
PM 190,464 bd.exe





ما اکنون این فایل را فشرده خواهیم ساخت (
Pack) (در یک روش ما اطلاعات درون فایل را zip می کنی&#1605 و تایپ می کنیم.




C:\>upx -9 bd.exe
Ultimate Packer for eXecutables
Copyright © 1996, 1997, 1998, 1999, 2000, 2001, 2002
UPX 1.24w Markus F.X.J. Oberhumer & Laszlo Molnar Nov 7th 2002

File size Ratio Format Name
-------------------- ------ ----------- -----------
190464 -> 67072 35.21%
win32/pe bd.exe

Packed 1 file.
منبع
   under9round