View Full Version : Trojan packing for by-pass antivirus [Howto]
pspn.n
17-01-2007, 10:58 AM
หลายคนเข้าใจผิดว่า Anti-virus ที่ update สม่ำเสมอ สามารถตรวจจับ virus หรือ
Trojan ได้ ดังนั้นผมเลยเขียนบทความนี้เพื่อให้เราเข้าใจมากขึ้น ว่า"แม้เราจะมี Anti
-virus และ update สม่ำเสมอ ก็ไม่ได้หมายความว่าเราจะปลอดภัยเสมอไป"
เริ่มกันเลย...
**Hidden Content: Check the thread to see hidden data.**
Good Luck....
by pspn.n
popvip
22-01-2007, 09:31 PM
ผมว่าน่าจะผลักดันเป็นกระทู้แนะนำแห่งปีนะครับ
ผมว่าเป็นประโยชน์มากๆสำหรับหลายๆคนที่หัดใช้โทรจันตัวนี้นะครับ
แต่ว่าส่วนใหญ่ก็จะโดน Anti - Virus กำจัดกันหมด
มีวิธี by pass แบบนี้ ผมว่าดีครับ
burapagame
04-02-2007, 11:35 PM
จิงๆแล้ว วิธีนี้มานใช้ไม่ได้เสมอไปหรอกคับ อย่างของคุณใช้ nod32 มานไม่เจอใช่มะคับ คุณได้ลองแอนตี้ไวรัสตัวอื่นหรือยัง ลองเข้าไปสแกนไฟล์ในเวป ออนไลน์ดูก็ได้นะคับ อย่างน้อยน่าจะตรวจเจอมากกว่า 10 แอนตี้ไวรัส หรืออีกกรณีนึงไฟล์นี้มีไวรัสแต่ตรวจไม่เจอแล้วคุณไป packing มานๆก็จะทำให้ตรวจเจอได้ง่ายขึ้น ไม่เชื่อลองดูก็ได้คับ ผมลองมาแล้ว
pspn.n
05-02-2007, 10:53 AM
ใช่ครับ จริงอย่างที่คุณ hew hackman ว่า แต่นี้ก็เป็นวิธีหนึงที่จะหลบการตรวจจับของ Anti-Virus ผมไม่ได้ลองกับ Anti-virus หลายๆตัว ดังนั้นจึงเขียนไว้ว่า ผู้ที่สนใจให้ลองกับหลายๆตัวดู ได้ผมอย่างไรเอามา Share กัน
แต่เทคนิคที่จะหลบ Anti-virus ก็มีอีกหลายวิธีและวิธีที่ผมคิดว่าได้ผลก็คือ Reverse Engineering ครับรับรอง ได้ผลแน่ และ วีที่้ดีอีกอันคือ เขียนมันขึ้นมาเองเลย....
็GoodLuck!
cbnuke
24-02-2007, 10:46 PM
ดีมากครับ ผมได้ความรู้มากเลยครับ
ขอบคุณครับผม :lol:
funnyko
01-03-2007, 09:33 PM
สรุป หนี ม่ายพ้นต้องมีเจอแอนติไวรัสซักตัวที่จะต้องจับได้
แต่คนส่วนใหญ่เห็นเด๋วเห็นนี้ลงแต่ Nod32
ยังไงขอขอบคุณละกันคับข้อความดีดี
ผมว่าไวรัสส่วนใหญ่NOD32จะรู้จักนะครับ ถึงเราจะเอาcode virusตัวอื่นมาพัฒนา แต่ส่วนใหญ่มันก็ยังรู้ว่าเป็นไวรัสอยู่ดีครับ ถ้าเป็นE scanยิ่งฉลาดเข้าไปอีกครับ ขนาดไม่รู้จักว่่าเป็นไวรัสอะไรมันยังรู้เลยว่าเป็นไวรัส เพราะวิเคราะห์จากการทำงานอะครับ
pspn.n
18-03-2007, 09:31 AM
Antivirus มี 2 ประเภทหลักๆ ครับ คือ
- Signature Base
- heuristic (http://en.wikipedia.org/wiki/Heuristic) Base (ดูจากพฤติกรรมการทำงาน)
ดังนั้นการจะหลบการตรวจจับของ AV ก็มี 2 ทางด้วยกันคือ ทำ Reverse Engineering คือ Disasembly Code
ของไวรัสให้มี Pattern ต่างไปจากเดิม ก็จะให้ AV ที่เป็น Signature Base ตรวจไม่เจอ แต่ประเภท Heuristic ดี
อาจจะเจอก็ได้ แต่แบบ Heuristic นั้นก็มีข้อเสียคือ Fault Positive เยอะ จนอาจทำให้ผู้ใช้ไม่สนใจสิ่งที่มันเจอก็ได้
(ลำคาน)
ด้วยเหตุนี้ การ modified virus/Torjan จึงมีโอกาสหลุดการตรวจจับได้มากกว่า 80% เลยทีเดียว นอกจากนี้ยังมีหลาย
เว็บไซต์รับจ้าง Modified viurs/Torjan เพื่อหลบการตรวจจับของ AV ให้อีกด้วย
HTH
ขอบคุณมากครับกำลังมีปัญหากับไวรัสพอดี
Powered by vBulletin® Version 4.2.5 Copyright © 2025 vBulletin Solutions Inc. All rights reserved.