-
[s] Dropper.gen wegmachen
hey.
wie macht man das weg , das avira die dropper.gen erkennt.?
http://free-hack.com/showthread.php?...ht=virtualsize
bei dem programm klappot das nicht?
muss ich die stub fixxen oder die exe?
aber beide klappte nicht.
http://free-hack.com/showpost.php?p=331534&postcount=17
das blicke ich überhaupt nicht.
also welche methoden kennt ihr?
in dem tut how du modd von Tix.
kann das sein , dass er den PE header verändert und dadurch dropper.gen auch weggeht?
danke euch
koennt mich auch icq adden 459 307 007
Geändert von kingvisse (23.08.2009 um 23:27 Uhr)
Grund: Automerged Doublepost
-
-
Transpinguin
Dropper werden meiner Information nach von nicht zusammen passenden Infos der Größe im PE-Header verursacht.
Aber wieso verwendest du nicht die Suche??
Hier http://free-hack.com/showthread.php?t=44355
-
-
CIH-Virus
so sieht es aus, im pe header steht die eigendliche größe der stub nach dem compilieren. wenn nun ein anderes programm hinten an die stub gehängt wird, ist die stub auf einmal größer, als es in der information steht. Es reicht schon, wenn man nur ein textdukument hinten anhängt und das "harmlose programm" wird als dropper erkannt.
was man dagegen machen kann ? Pe header fixxen, gibt auch ein tut dazu glaub ich.
-
-
einfach in lordpe auf rebuild pe gehen, datei auswählen und fertig =)
-
-
Man sollte die Dropper.Gen Detection nicht nur auf falsch eingebundene EOF Daten reduzieren. Aus eigener Erfahrung weiss ich, dass folgendes zu diesem Fund führen kann:
- Falsche Informaionen über die Filegröße im PE-Header
- Bestimmte Strings
- Icons
- Resourcen
- RunPE
Vergewissere dich also erstmal, ob es nicht an etwas anderem liegt.
-
-
Eigener Benutzertitel
Genau versuche ersteinmal nur das Icon zu ändern.Das ist bei mir sehr oft die Ursache.^^
iPott <3
-
-
-
-
Transpinguin
Schaust du dir die Antworten an??
Die Frage ist kein Angriff sondern ernst gemeint.
Ich habe das schon gepostet.
http://free-hack.com/showthread.php?t=44355
Hier
Zum ändern verwendest du LordPE oder ähnliches.
-
-
ja , nur zeigt der bei dem link an [ die pdf datei in dem link ] das der root down ist.
und mit LordPE habe ich sowohl die exe als auch stub "rebuildPE" gemacht.
icon von der stub und exe geändert , alles nix geholfen
was gibts noch?
muss man den Pe header manuell ändern?
-
-
Hast du dir mal den Post von Dizzy angeschaut?
Viele Icons sind schon von den AV's detected - von demher musste iwelchen Crap als Icon nehmen oder dir selber einen machen.
Schonmal versucht die Fileinformationen mit Reshacker umzuändern?
Hilft in manchen Fällen.
Was für ein 'Programm' willst du überhaupt fixen?
Ein gebuildeter Server oder das Hauptprogramm/Crypter?
-
Stichworte
Berechtigungen
- Neue Themen erstellen: Nein
- Themen beantworten: Nein
- Anhänge hochladen: Nein
- Beiträge bearbeiten: Nein
-
Foren-Regeln