Files klein (sehr klein) splitten und alle als Ressourcen hinzufügen. Danach auslesen und zusammenfügen... So meine ich das.
MfG. Lemontree
Ergebnis 11 bis 14 von 14
Thema: [S] Antivir Tr.Dropper/Gen
-
07.12.2010, 21:46 #11TR/Dropper.GEN
- Registriert seit
- 26.08.2008
- Beiträge
- 247
675724
-
07.12.2010, 21:58 #12BackNine Wurm
- Registriert seit
- 29.11.2008
- Beiträge
- 312
Ressourcen prinzipiell sollten eig. keinen Dropper auslösen können..
Auser sie sind eindeutig, also das man mz-files ungecrypted mitliefert o.ä ..
-
07.12.2010, 22:00 #13TR/Dropper.GEN
- Registriert seit
- 26.08.2008
- Beiträge
- 247
Nein. Wenn die Ressourcen zu groß sind, werden sie als Dropper erkannt...
MfG. Lemontree
675724
-
07.12.2010, 23:20 #14BackNine Wurm
- Registriert seit
- 29.11.2008
- Beiträge
- 312
Ich hab das gerade bis 13 Mb ausprobiert, und zumindest Avira und Kaspersky sagen nichts..
Also ich kann das nicht reproduzieren..
zumal ich nicht verstehen kann weshalb da ein Dropper gemeldet werden sollte..
Beim Hinzufügen sollte die Größe von pointertorawdata, sizeofinitializeddata und die imagsize angepasst werden..
Und die entsprechenden Größen innerhalb der .rsrc ebenfalls
Dann sollte in der PE wieder alles stimmen..
Es ist kein unerwünschter oder 'ungemeldeter' content in/an der pe, deshalb hat der Av auch nichts zu meckern o0
(Also reshaker macht das automatisch, ich teste es nachher auch mal wenn man das über die resourceupdate-api selber macht.. )Geändert von Mofo (07.12.2010 um 23:28 Uhr)
Zitieren
Ähnliche Themen
-
[SRC] Bypass TR\Dropper.Gen
Von Bozok im Forum Komponenten & Source CodesAntworten: 7Letzter Beitrag: 07.12.2010, 23:08 -
Eicar dropper
Von TheBigLou13 im Forum Sonstige ProgrammiersprachenAntworten: 0Letzter Beitrag: 05.05.2010, 20:40 -
TR.Dropper.Gen Theorie
Von scratsch im Forum VisualBasicAntworten: 15Letzter Beitrag: 17.05.2009, 20:12
