Os pesquisadores de segurança conseguiram descobrir uma maneira de contornar qualquer antivírus popular. Os autores deste sistema enfatizaram que, desta forma, tal ataque seria eficaz em qualquer caso. A proteção antivírus foi contornada devido à vulnerabilidade dos sistemas multicore - a incapacidade de rastrear as ações de vários threads.
Instruções
Passo 1
Agora, o mais difundido é o antivírus da Kaspersky Lab. Portanto, será sobre ele. Existe uma maneira que permite, sem criptografia e sem criptografar o código, silenciar o antivírus. Primeiro, o que é PE? PE é o formato de aplicativo executável mais amplamente usado. Se considerarmos brevemente os elementos significativos do aplicativo, podemos distinguir que ele começa com um programa DOS que exibe uma mensagem de que o trabalho está ocorrendo apenas em um ambiente Win. Observe a estrutura do cabeçalho neste formato. Como você pode ver, existem muitos bytes vazios aqui que você pode inserir seu próprio código. Em geral, quem terá imaginação suficiente.
Passo 2
Então, vamos continuar. Leia o título e retire o EntryPoint. Se você não sabe, este é o ponto de entrada do programa. Simplificando, ele é mapeado para a memória na inicialização, após o qual o processador executa o comando para o qual aponta. Lembre-se do verdadeiro ponto de entrada. Escreva seu código de programação. Mantenha a condição de que a execução seja entregue ao próprio arquivo.
etapa 3
Em seguida, você precisa alterar o próprio EntryPoint, que já apontará para o seu código. Isso pode ser feito de duas maneiras: manualmente ou usando um programa. O programa que o ajudará a contornar antivírus é chamado AntiKaspersky. Ele usa os métodos de desvio de antivírus descritos aqui. O AntiKaspersky pode ser baixado gratuitamente. Este método simplificará muito sua tarefa. Para fazer isso manualmente, você precisa estar pelo menos um pouco familiarizado com a programação. Em qualquer caso, embora seja interessante, exigirá muito tempo e esforço. Dessa forma, você pode ignorar quase qualquer antivírus.
