hey.
wie macht man das weg , das avira die dropper.gen erkennt.?
http://free-hack.com/showthread.php?...ht=virtualsize
bei dem programm klappot das nicht?
muss ich die stub fixxen oder die exe?
aber beide klappte nicht.
http://free-hack.com/showpost.php?p=331534&postcount=17
das blicke ich überhaupt nicht.
also welche methoden kennt ihr?
in dem tut how du modd von Tix.
kann das sein , dass er den PE header verändert und dadurch dropper.gen auch weggeht?
danke euch
koennt mich auch icq adden 459 307 007
Ergebnis 1 bis 10 von 19
Thema: [s] Dropper.gen wegmachen
-
23.08.2009, 23:11 #1W32.FunLove
- Registriert seit
- 08.09.2008
- Beiträge
- 156
[s] Dropper.gen wegmachen
Geändert von kingvisse (23.08.2009 um 23:27 Uhr) Grund: Automerged Doublepost
-
24.08.2009, 09:17 #2Transpinguin
- Registriert seit
- 02.09.2008
- Beiträge
- 1.295
Dropper werden meiner Information nach von nicht zusammen passenden Infos der Größe im PE-Header verursacht.
Aber wieso verwendest du nicht die Suche??
Hier http://free-hack.com/showthread.php?t=44355
-
24.08.2009, 10:07 #3CIH-Virus
- Registriert seit
- 12.10.2008
- Beiträge
- 445
so sieht es aus, im pe header steht die eigendliche größe der stub nach dem compilieren. wenn nun ein anderes programm hinten an die stub gehängt wird, ist die stub auf einmal größer, als es in der information steht. Es reicht schon, wenn man nur ein textdukument hinten anhängt und das "harmlose programm" wird als dropper erkannt.
was man dagegen machen kann ? Pe header fixxen, gibt auch ein tut dazu glaub ich.
-
24.08.2009, 10:51 #4Bad Times Virus
- Registriert seit
- 22.08.2008
- Beiträge
- 539
einfach in lordpe auf rebuild pe gehen, datei auswählen und fertig =)
-
24.08.2009, 13:04 #5Der Jesus der Informatik
- Registriert seit
- 01.12.2007
- Beiträge
- 216
Man sollte die Dropper.Gen Detection nicht nur auf falsch eingebundene EOF Daten reduzieren. Aus eigener Erfahrung weiss ich, dass folgendes zu diesem Fund führen kann:
- Falsche Informaionen über die Filegröße im PE-Header
- Bestimmte Strings
- Icons
- Resourcen
- RunPE
Vergewissere dich also erstmal, ob es nicht an etwas anderem liegt.
-
24.08.2009, 13:40 #6Eigener Benutzertitel
- Registriert seit
- 23.12.2008
- Beiträge
- 1.767
Genau versuche ersteinmal nur das Icon zu ändern.Das ist bei mir sehr oft die Ursache.^^
iPott <3
-
24.08.2009, 14:11 #7W32.FunLove
- Registriert seit
- 08.09.2008
- Beiträge
- 156
das icon vom server oder von der stub ändern?
http://free-hack.com/showthread.php?t=44355
der darin enthaltene link ist "down"
wie ändert man den PE header?
wie gefragt
in dem tut how du modd von Tix.
kann das sein , dass er den PE header verändert und dadurch dropper.gen auch weggeht?
also wenn das dadrin erklaert wird , gerade kb nochmal alles anzugucken
, mache ich das mal.
oder icon ändern , halt nur von welcher datei
?
-
24.08.2009, 14:17 #8Transpinguin
- Registriert seit
- 02.09.2008
- Beiträge
- 1.295
Schaust du dir die Antworten an??
Die Frage ist kein Angriff sondern ernst gemeint.
Ich habe das schon gepostet.
http://free-hack.com/showthread.php?t=44355
Hier
Zum ändern verwendest du LordPE oder ähnliches.
-
24.08.2009, 14:32 #9W32.FunLove
- Registriert seit
- 08.09.2008
- Beiträge
- 156
ja , nur zeigt der bei dem link an [ die pdf datei in dem link ] das der root down ist.
und mit LordPE habe ich sowohl die exe als auch stub "rebuildPE" gemacht.
icon von der stub und exe geändert , alles nix geholfen
was gibts noch?
muss man den Pe header manuell ändern?
-
24.08.2009, 14:35 #10Gesperrt
- Registriert seit
- 13.03.2009
- Beiträge
- 1.041
Hast du dir mal den Post von Dizzy angeschaut?
Viele Icons sind schon von den AV's detected - von demher musste iwelchen Crap als Icon nehmen oder dir selber einen machen.
Schonmal versucht die Fileinformationen mit Reshacker umzuändern?
Hilft in manchen Fällen.
Was für ein 'Programm' willst du überhaupt fixen?
Ein gebuildeter Server oder das Hauptprogramm/Crypter?
Zitieren
