4. Kleines Problem mit einem Antiviren-Tool ...

Kleines Problem mit einem Antiviren-Tool ...

  • ?

    Hallöchen,

    hab da ein kleines Problem. Ich möchte mir ein kleines Antiviren-Tool gegen den Virus Win32.Cabanas machen. Die Virensignatur habe ich mir auch schon besorgt, doch das einzigeste Problem ist, dass wenn ich mein Programm mit der Virensignatur in einer Variable kompiliere und erzeuge, dann sagt Norton Antivirus das er in meiner EXE den Virus Cananas gefunden hat. Ist ja auch klar das er ihn in meiner EXE findet, doch wie kann ich das unterdrücken ?
    Momentan speicher ich die Virensignatur in einer BYTE variable :

    BYTE Win32Cabanas[] = { ...Virensignatur ...};

    Hätte da jemand eine Idee wie man die Signatur "unsichtbar" für andere Antiviren-Tools macht ?

    Danke a lot 😃

    LeaveNoName ...

    0
  • D

    lol, das is geil 😃

    Vielleicht einfach nen XOR drüber laufen lassen, bevor du's in deiner Bytevariablen speicherst und wenn du es benutzen willst, dann wandelst dus wieder zurück.

    0
  • ?

    Hmm, wie genau meinst du das ? Habe noch nie mit XOR gerabeitet...

    BYTE var ^= ???

    Danke
    LeaveNoName

    0
  • E

    so:

    Win32Cabanas1 = { ...Virensignatur Teil 1 ...};
Win32Cabanas2 = { ...Virensignatur Teil 2 ...};
Win32Cabanas3 = { ...Virensignatur Teil 3 ...};

Win32Cabanas = Teil1 + Teil2 + Teil 3;

    Esco

    melde dich, wenn du mal wiederhilfe brauchst...

    0
  • ?

    @Esco

    Ist das die Methode mit XOR ???
    Außerdem habe ich mir auch schon überlegt das so zu machen..doch das problem
    ist das die Virensignatur mit Kommas bespickt ist :

    BYTE Virus[] = { 0x58,0xFF,0xE0,0x8B,0x85,0x57,0x17,0x40,0x00,
                       0x50,0xB9,0x78,0x56,0x34,0x12,0xFF,0x95,0xE6,...};

    Wie genau stellst du dir das vor ..? mit int's char's etc. funtzt das nicht..

    Danke

    0
  • G

    @LeaveNoName
    Wäre es eventuell möglich den Src zu bekommen wenn es läuft. Würde mich nämlich auch mal interessieren wie sowas funzt...

    0
  • ?

    Weiß nicht mal ob ich das selber hinkriege 😃
    Werde mir demnächst das hier anschauen

    http://www.codeproject.com/file/ChauSearchBin.asp

    Damit kann man Bytes von Dateien auslesen, dann brauche ich sie nur noch mit der Virensigntur zu vergleichen und schon hab ich den Virus oder nicht ... (Denke ich mal... ^^)

    0
  • E

    scheinbar hast du noch nicht verstanden, warum sich dein norton meldet...

    du musst die signatur im quellcode aufteilen oder dir ne methode schreiben, die dir eine signatur waehrend der laufzeit uebersetzt. also du schreibst praktisch irgendwo die signatur hin indem du den bytewert jeweils dekrementierst. eine methode inkerementiert dir dann zur laufzeit die sigantur unn alles is 1A.
    es reicht im prinzip, wenn du nur ein paar stellen dekrementieren wuerdest.

    Esco

    0
  • ?

    Doch, ich hab verstanden warum Norton sich meldet ..
    Doch wie genau soll ich das machen? mit Byte Klappt das nicht..

    BYTE b1[] = {0x58,0xFF,0xE0,0x8B,0x85,0x57,0x17,0x40,0x00,};
BYTE b2[] = {0x50,0xB9,0x78,0x56,0x34,0x12,0xFF,0x95,0xE6};

BYTE b3[] = b1 + b2;

    das klappt nicht..

    0
Anmelden zum Antworten