Привет всем !
Часто необходимо понять на что ругается антивирус:
- На сигнатуру в коде.
- На импорт.
- Реакция эмулятора.
- На секции.
Тема чисток много где раскрыта, даже здесь на форуме что-то есть, но мало кто говорит, про супер-мега невероятную крутую тулзу от vxlab.
Написана на питоне, что она делает:
Fast mode
Быстрый режим призван определить какого толка сигнатура нас беспокоит:
python SF.py path_to_exe fast
Header mode
Методом исключения, если затирание секций оставляет детект -
сигнатура стоит на оставшихся заголовках pe32. Данный режим затирает
каждое поле по отдельности, создавая файлы типа:
python SF.py path_to_exe head
Section mode
Это режим работы с конкретной секцией, она делится на N участков
одинакового размера и в каждом файле стёрт свой участок. Указывается
порядковый номер секции. Опциональный аргумент -p задаёт количество
частей, по умолчанию 100.
python SF.py path_to_exe sect section_number
python SF.py path_to_exe sect section_number -p 10
Manual mode
Режим ручного управления. Заданный в параметрах участок, делится на
заданное количество частей, каждая перезатирается по очереди. Длина шага
равна размеру одной части.
Например, было:
FF FF FF FF FF FF
Стало:
00 00 FF FF FF FF
FF FF 00 00 FF FF
FF FF FF FF 00 00
Вызов:
python SF.py path_to_exe man offset size part_num
Manual2 mode
Второй ручной режим, отличается от первого длиной шага, который равен одному байту.
Например, было:
FF FF FF FF FF FF
Стало:
00 00 FF FF FF FF
FF 00 00 FF FF FF
FF FF 00 00 FF FF
Вызов:
SF.py path_to_exe man2 offset size window_size
Видяха как работать:
Сорцы в гите:
Часто необходимо понять на что ругается антивирус:
- На сигнатуру в коде.
- На импорт.
- Реакция эмулятора.
- На секции.
Тема чисток много где раскрыта, даже здесь на форуме что-то есть, но мало кто говорит, про супер-мега невероятную крутую тулзу от vxlab.
Написана на питоне, что она делает:
Fast mode
Быстрый режим призван определить какого толка сигнатура нас беспокоит:
- Эмулятора
- Импорта
- Секций
- ALL_SECTION - стёрты все секции
- ALL_SECTION_NOT[0].text - стёрты все секции кроме первой, под именем .text
- SECTION[2].data - стёрта только третья секция, под именем .data
- EMUL - на точку входа эмулятора поставлен выход. Он прекратит свою работу и детект эмулятора исчезнет.
- IMPORT - весь импорт перезатёрт - если сигнатура стояла на импорте - она пропадёт.
python SF.py path_to_exe fast
Header mode
Методом исключения, если затирание секций оставляет детект -
сигнатура стоит на оставшихся заголовках pe32. Данный режим затирает
каждое поле по отдельности, создавая файлы типа:
- IMAGE_DOS_HEADER-e_cblp
- IMAGE_OPTIONAL_HEADER-AddressOfEntryPoint
python SF.py path_to_exe head
Section mode
Это режим работы с конкретной секцией, она делится на N участков
одинакового размера и в каждом файле стёрт свой участок. Указывается
порядковый номер секции. Опциональный аргумент -p задаёт количество
частей, по умолчанию 100.
python SF.py path_to_exe sect section_number
python SF.py path_to_exe sect section_number -p 10
Manual mode
Режим ручного управления. Заданный в параметрах участок, делится на
заданное количество частей, каждая перезатирается по очереди. Длина шага
равна размеру одной части.
Например, было:
FF FF FF FF FF FF
Стало:
00 00 FF FF FF FF
FF FF 00 00 FF FF
FF FF FF FF 00 00
Вызов:
python SF.py path_to_exe man offset size part_num
Manual2 mode
Второй ручной режим, отличается от первого длиной шага, который равен одному байту.
Например, было:
FF FF FF FF FF FF
Стало:
00 00 FF FF FF FF
FF 00 00 FF FF FF
FF FF 00 00 FF FF
Вызов:
SF.py path_to_exe man2 offset size window_size
Видяха как работать:
Сорцы в гите:
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки
Последнее редактирование: