Also ich suche seit langem ein tut wie ich bei antivir das Dropper gen weg bekomme alle mir bekannten "alten" techniken gehen nit mehr.
Kann mir wer helfen?

vb.net obfuscator + hex editor + res hacker usw ...
Oder einfach ein Crypter kaufen ?

sind das nicht die "alten" bekannten?

Die Datei kleinsplitten und und alles anhängen. Dann auslesen und wieder zusammenfügen.

MfG. Lemontree

@ Lemontree
ich mein jetzt nit ne methode für crypter, sondern eine die man peer hand auch in absehbarer zeit durchführen kann.
mfg

Gleiche Frage, deshalb erspare ich mir die Antwort (http://free-hack.com/remote-administration-tools/69223-wie-antivir-droper-gen-wegbekommen.html)

Und das funktioniert sicherlich..
lade mal ein Beispiel von dir hoch, dann mache ich dir eine Schritt für Schritt Anleitung für dein File :/

Die Datei kleinsplitten und alles anhängen. Dann auslesen und wieder zusammenfügen.

MfG. Lemontree

Wie meinste das ?
Bisschen unverständlich geschrieben dein Text.
Ich splitte das File, sagen wir ~ 200kb File in 10 Teile oder noch kleiner ?
Hänge alle 10 Files an die Stub an und
füge es nach dem ausführen wieder zusammen und execute es :???

Greetz

Das hätte exakt den selben Effekt..
Zumindest wenn die Splitfiles im eof landen^^

Jo das hatte mich auch gewunder,
soweit erkennt AntiVir doch alles was am EOF angehangen wird oder nicht ? :>
Gibt es irgendwelche anderen Methoden ?
Außer Icon/ Versions Info usw. zu changen ?

Greeting

Antivir erkennt nichts von dem was im eof ist, zumindest nicht wenn es zumindest ein wenig codiert oder encrypted ist, aber das ist auch nicht der Punkt beim dropper.gen :/

Es geht nur darum das die pe größer ist als sie vorgibt zu sein, egal wo noch zusätzlicher Content ist ..(Resourcen bilden eine Ausnahme)

Und das ganze hat eine eindeutige Prävention, und die wurde auf FH schon öfters ausgeführt...

Und EBFEs Tutorial dazu (http://free-hack.com/text-tutorials/44355-pe-fix-eof-korrekt-einbinden-oder-manual-fixing-von-tr-dropper-gen.html) ist sehr ausführlich und beinhaltet neben dem theoretischen Teil auch noch die "von Hand"-Methode per Hexeditor..


Es ist wirklich unnötig ständig neue Threads deswegen aufzumachen, wo man anhand der Sufu doch auf eine Menge an Lösungen kommt ..

Files klein (sehr klein) splitten und alle als Ressourcen hinzufügen. Danach auslesen und zusammenfügen... So meine ich das.

MfG. Lemontree

Ressourcen prinzipiell sollten eig. keinen Dropper auslösen können..
Auser sie sind eindeutig, also das man mz-files ungecrypted mitliefert o.ä ..

Nein. Wenn die Ressourcen zu groß sind, werden sie als Dropper erkannt...

MfG. Lemontree

Ich hab das gerade bis 13 Mb ausprobiert, und zumindest Avira und Kaspersky sagen nichts..
Also ich kann das nicht reproduzieren..

zumal ich nicht verstehen kann weshalb da ein Dropper gemeldet werden sollte..
Beim Hinzufügen sollte die Größe von pointertorawdata, sizeofinitializeddata und die imagsize angepasst werden..
Und die entsprechenden Größen innerhalb der .rsrc ebenfalls

Dann sollte in der PE wieder alles stimmen..
Es ist kein unerwünschter oder 'ungemeldeter' content in/an der pe, deshalb hat der Av auch nichts zu meckern o0
(Also reshaker macht das automatisch, ich teste es nachher auch mal wenn man das über die resourceupdate-api selber macht.. )