Bueno, si el anterior fue un gran progreso éste es realmente sorprendente
.
RedirectCalls terminado para ejecutables programados en C/C++ y ASM. Aún no funciona con exes en VB ni Delphi porque éstos llaman a las apis de una forma
rara diferente, pero también funcionará con éstos. Qué hace ésta función? pues mueve todas las llamadas a las apis a los huecos del exe y en su lugar pone saltos hacia esos calls, aquí una captura del olly con el stub del SecureShade programado por Kizar en C:
¿Vale, y que consigues con eso?
Pues como muchos sabrán, muchos antivirus ponen firmas en éstos sitios porque son "difíciles" de modificar, sirve para ésto:
EL ANTES File InfoReport generated: 2.5.2009 at 12.45.43 (GMT 1)
File size: 4 KB
MD5 Hash: 597E73FB20D376A13CF61800F815C126
SHA1 Hash: 5D36A65B697D5E94474D8AACD2A2E05DD11CB81F
Self-Extract Archive: Nothing found
Binder Detector: Nothing found
Detection rate:
16 on 24
Detectionsa-squared -
BehavesLike.Win32.ProcessHijack!IKAvira AntiVir -
TR/Drop.Small.NDH.42Avast -
Win32:Poison-IX [trj] AVG -
Dropper.Generic.ACNF BitDefender -
Trojan.Dropper.Small.NDH ClamAV -
Nothing found! Comodo -
Backdoor.Win32.Poison.~ZU Dr.Web -
BackDoor.Bifrost.740Ewido -
Backdoor.SdBot.hnn F-PROT 6 -
W32/Backdoor2.COYS G DATA -
Win32:Poison-IX [trj] B IkarusT3 -
BehavesLike.Win32.ProcessHijack Kaspersky -
Nothing found!McAfee -
Nothing found! MHR (Malware Hash Registry) -
Virus Found - detect rate 11%NOD32 v3 -
Win32/IRCBot.AJR Norman -
Nothing found! Panda -
Nothing found!Quick Heal -
Trojan.Agent.ATVSolo Antivirus -
Nothing found!Sophos -
Sus/Behav-168 TrendMicro -
Nothing found!VBA32 -
Win32.IRCBot.AJR Virus Buster -
Nothing found!Scan report generated by
NoVirusThanks.org Y EL DESPUÉS File InfoReport generated: 2.5.2009 at 12.49.45 (GMT 1)
File size: 4 KB
MD5 Hash: 302CC836D99E9309F57D8CC12084A17E
SHA1 Hash: 5113DDDBF338830760E8A434AFAFBE813A2F7EE9
Self-Extract Archive: Nothing found
Binder Detector: Nothing found
Detection rate:
5 on 24
Detectionsa-squared -
Heuristic.LOPAvira AntiVir -
Nothing found!Avast -
Win32:Poison-IX [trj] AVG -
Nothing found!BitDefender -
Nothing found! ClamAV -
Nothing found! Comodo -
Nothing found! Dr.Web -
Nothing found!Ewido -
Nothing found! F-PROT 6 -
Nothing found! G DATA -
Win32:Poison-IX [trj] B IkarusT3 -
Nothing found! Kaspersky -
Nothing found!McAfee -
virus or variant W32/NGVCK.d MHR (Malware Hash Registry) -
Nothing found!NOD32 v3 -
Nothing found! Norman -
Nothing found! Panda -
Nothing found!Quick Heal -
Nothing found!Solo Antivirus -
Nothing found!Sophos -
Sus/Behav-168 TrendMicro -
Nothing found!VBA32 -
Nothing found! Virus Buster -
Nothing found!Scan report generated by
NoVirusThanks.org De esos, a-squared me lo detecta por el cambio del entry point, mcafee se añade con un falso positivo los otros porque tienen otra firma.
Espero comentarios a ver que les parece
. Ahora estoy trabajando para adaptarlo también a exes en VB y Delphi.
Saludos