Текущий архив: 2006.04.02;
Скачать: CL | DM;
Вниз
Нужно обнаружить одну хитрую программу.... Найти похожие ветки
← →
Free0n © (2006-01-11 14:11) [0]Есть экзешник, который копирует сам себя в определенной папке, при этом он изменяет
свою иконку на случайную, найденную им в других экзешниках или файлах с ресурсами.
Т.к. он меняет произвольно свою иконку, то у него изменяется размер и его хэш, но
ведь б"ольшая его часть остается неизменной. Как мне с наибольшей вероятностью
обнаружить все такие экзешники?
Заранее спасибо.
← →
Rouse_ © (2006-01-11 14:13) [1]Посчитать контрольную сумму файла за исключением иконок...
← →
Free0n © (2006-01-11 14:16) [2]Если можно, то приведи рабочий код, а если нет, то как можно узнать где именно в файле хранится иконка?
← →
BiN © (2006-01-11 15:12) [3]Я понимаю, что это полезная во всех отношения программа, а ты администратор и всё такое, но всё же.
Это троян?
← →
Rouse_ © (2006-01-11 15:48) [4]
> как можно узнать где именно в файле хранится иконка
Да как тебе угодно хоть тупо в лоб ищи. К примеру, перечисли ресурсы, вытащи саму иконку, а потом банально беги по телу файла и ищи место где она зашита :)
← →
Free0n © (2006-01-11 15:54) [5]To BiN
Да это почти троян, это его эмулятор, который мне надо найти.
← →
Deka © (2006-01-11 16:03) [6]Антивирусы обычно по сигнатурам ищут. Может и тебе так попробовать. Получится, если есть хоть один "пойманный" экземпляр.
← →
Игорь Шевченко © (2006-01-11 16:23) [7]Поставь антивирус и не мучайся. Остальное он сам сделает
← →
Anatoly Podgoretsky © (2006-01-11 16:30) [8]Игорь Шевченко © (11.01.06 16:23) [7]
И против персональных вирусов?
← →
Игорь Шевченко © (2006-01-11 16:37) [9]Anatoly Podgoretsky © (11.01.06 16:30) [8]
Эвристическим анализатором
← →
Free0n © (2006-01-11 16:45) [10]To Deka
пойманный экземпляр есть, а как у него сигнатуру определить(подсчитать) если он в себя добавляет/удаляет ресурсы (меняет иконку и т.п.)
← →
Игорь Шевченко © (2006-01-11 16:47) [11]Free0n © (11.01.06 16:45) [10]
Посчитай сигнатуру секции кода, к примеру. Возьми два экземпляра, сравни, найди общую часть.
← →
Free0n © (2006-01-11 17:37) [12]To Игорь Шевченко
Отличная идея большое спасибо
← →
Хинт © (2006-01-11 20:12) [13]А я вот всегда думал, как сменить значок у EXE файла =)
А по сабжу:
читать к примеру первый килобайт файла и сравнивать с телом трояна
← →
Free0n © (2006-01-12 23:49) [14]TO Хинт
Первый килобайт не совсем правильно т.к. я пробовал у *.ехе изменить
иконку и сравнивал оба файла по первому килобайту, во первых, как я думаю, практически у всех ехе одинаковый РЕ заголовок а это порядка 300байт, и мне кажется что после заголовка хранятся ресурсы, хотя это мое личное мнение, я слышал что ресурсы могут храниться в любой части РЕ файла????
← →
Игорь Шевченко © (2006-01-13 10:23) [15]
> я слышал что ресурсы могут храниться в любой части РЕ файла?
> ???
Никто не мешает храниться им в любой части, но обычно они хранятся в конце exeшника
← →
umbra © (2006-01-13 11:30) [16]можно по заголовку найти секцию кода и взять оттуда первые n байт. Это сработает, если экзешник не упакован.
← →
umbra © (2006-01-13 12:52) [17]кстати, а кто этот экзешник запускает?
← →
Free0n © (2006-01-13 17:35) [18]екзешник запускается сам =))
← →
Игорь Шевченко © (2006-01-13 18:04) [19]
> екзешник запускается сам =))
" Processes do not just magically appear on the system, nor are they created
spontaneously by the kernel. New processes are created by other processes,
just like new humans. (4) (это в смысле ссылка, upper index)
(4) New humans are normally created by other humans, not by UNIX processes."
← →
Alarm © (2006-01-13 18:32) [20]Ветка очень напоминает флуд:(
← →
Free0n © (2006-01-14 16:36) [21]Где в заголовке можно найти секцию кода???
И как ее почитать, если можно - рабочий код.
Страницы: 1 вся ветка
Текущий архив: 2006.04.02;
Скачать: CL | DM;
Память: 0.49 MB
Время: 0.044 c
