 |
 |
 |
 |
 |
|
Sprachen und Entwicklungsumgebungen
Object-Pascal / Delphi-Language
Delphi Heuristik-Fund bei ShellExecute/CreateProcess/WinExeC
Antwort
|
|
|
Registriert seit: 27. Mai 2005 Ort: Baden 315 Beiträge Delphi 2007 Enterprise |
#1
Re: Heuristik-Fund bei ShellExecute/CreateProcess/WinExeC
20. Mai 2010, 20:34
Zitat von Aphton:
Sobald bestimmte Calls in der Importtabelle der Exe drin stehen, tendieren die meisten AV-Software auf eine verdächtige Datei.
Eine (praktische) Lösung wäre zB.: du lädts die DLLs und ermittelst die Adressen der Funktionen - zur Laufzeit. Somit sind sie auch nicht nach der Kompilierung in der Importtabelle deiner Exe... Wichtig dabei ist auch, dass du zB nicht soetwas wie das hier machst: MyShellExec := GetProcAddress( hDLL, 'ShellExecuteA' ); denn, dann beinhaltet die Exe wieder den String "ShellExecuteA".
Delphi-Quellcode:
MyShellExec := GetProcAddress( hDLL, pChar( SimpleDecrypt('XsGgfdASasdsa') ) );
{Anmerkung: "XsGgfdASasdsa" ist jetzt nur ein Beispiel - entschlüsselt sollte dieser Buchstabenhaufen "ShellExecuteA" ergeben} MfG Am besten du schreibst ihnen eine Mail, und verweist eventuell auf den Thread hier. Sie sollten dann im besten Fall die Signatur rausnehmen. Weil dass du jetzt extra deinen Code umprogrammieren musst nur weil ein AntiViren Hersteller meint dein Programm sei böse, das ist keine Lösung. 
|
Zitat
|
ForumregelnEs ist dir nicht erlaubt, neue Themen zu verfassen.
Es ist dir nicht erlaubt, auf Beiträge zu antworten.
Es ist dir nicht erlaubt, Anhänge hochzuladen.
Es ist dir nicht erlaubt, deine Beiträge zu bearbeiten.
BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus. Trackbacks are an
Pingbacks are an
Refbacks are aus
|
|
Hybrid-Darstellung
