Вверх ↑
Этот топик читают: Гость
Ответов: 39
Рейтинг: 0
#1: 2020-12-17 09:58:29 ЛС | профиль | цитата
Добрый день
Решил заняться проблемой нахождения Virustotal вредоносного кода в программах
Решил создать пустую форму и просканировать ее утилитой "Malware Analyzer(Static & Dynamic) 3.3" и вот что она показала

Anti Debugging traces identification

[!] Found a call at: 0x40e158 CloseHandle
[!] Found a call at: 0x40e1c4 LoadLibraryA
[!] Found a call at: 0x40e1c8 GetProcAddress

Malware File System Activity Traces

[!] Found a call at: 0x40e154 CreateFileA

Malware Keyboard Hook Calls

[!] Found a Keyboard Hook call at: 0x40e314 GetKeyState
[!] Found a Keyboard Hook call at: 0x40e334 GetAsyncKeyState

DEP Setting Change trace

[!] Found a DEP setting change trace: 0x40e0f4 VirtualAlloc


TLS aware Traces

[!] Found a TLS aware call : 0x40e190 TlsSetValue
[!] Found a TLS aware call : 0x40e194 TlsGetValue



Подскажите, пожалуйста, какой файл ковырять, чтобы избавится от этих вызовов?
карма: 0

0
vip
#1.1контекстная реклама от партнеров
Ответов: 8778
Рейтинг: 813
#2: 2020-12-17 10:39:00 ЛС | профиль | цитата
MBO, лучше ничего не "ковырять", а послать файл Касперскому тот dr.Web и подождать их ответа
карма: 18

0
Ответов: 39
Рейтинг: 0
#3: 2020-12-17 12:12:02 ЛС | профиль | цитата
Леонид писал(а):
MBO, лучше ничего не "ковырять", а послать файл Касперскому тот dr.Web и подождать их ответа

Касперский говорит что все хорошо!
карма: 0

0
Ответов: 4584
Рейтинг: 730
#4: 2020-12-17 12:19:50 ЛС | профиль | цитата
CloseHandle - освобождение ранее выделенных системных ресурсов (как то созданных окон, открытых файлов и пр.). Это не является вредоносным.
Убрать LoadLibraryA, GetProcAddress - и программа перестанет работать с дополнительными DLL, загружаемыми по мере необходимости, а не постоянно.
Убрать GetKeyState, GetAsyncKeyState - и программа перестанет реагировать на нажатия предопределенных клавиш в некоторых местах.
Убрать CreateFileA - перестанет читать и записывать файл в каком-то из случаев.

Короче, в выводе той программы нет ничего ни опасного, ни подозрительного. Анализировать стоит буквально несколькими самыми авторитетными антивирусами. Если не обнаружили ничего - значит программа чистая. Что не отменяет и ложного сообщения об опасности.

MBO писал(а):
Подскажите, пожалуйста, какой файл ковырять, чтобы избавится от этих вызовов?
Программы в HiAsm компилируются из исходных кодов в *.pas файлах папок HiAsm\compiler\fpc и HiAsm\Elements\Delphi\code (в HiAsm\compiler\delphi - тоже, но там нет основных исходных кодов). Даешь поиск функций по содержимому этих файлов - находишь места, где используются. Если использование убрать - соответствующий функционал будет нарушен.

Редактировалось 1 раз(а), последний 2020-12-17 12:22:58
карма: 26

0
Ответов: 39
Рейтинг: 0
#5: 2020-12-18 17:16:55 ЛС | профиль | цитата
Netspirit писал(а):
CloseHandle - освобождение ранее выделенных системных ресурсов (как то созданных окон, открытых файлов и пр.). Это не является вредоносным.
Убрать LoadLibraryA, GetProcAddress - и программа перестанет работать с дополнительными DLL, загружаемыми по мере необходимости, а не постоянно.
Убрать GetKeyState, GetAsyncKeyState - и программа перестанет реагировать на нажатия предопределенных клавиш в некоторых местах.
Убрать CreateFileA - перестанет читать и записывать файл в каком-то из случаев.

Короче, в выводе той программы нет ничего ни опасного, ни подозрительного. Анализировать стоит буквально несколькими самыми авторитетными антивирусами. Если не обнаружили ничего - значит программа чистая. Что не отменяет и ложного сообщения об опасности.

MBO писал(а):
Подскажите, пожалуйста, какой файл ковырять, чтобы избавится от этих вызовов?
Программы в HiAsm компилируются из исходных кодов в *.pas файлах папок HiAsm\compiler\fpc и HiAsm\Elements\Delphi\code (в HiAsm\compiler\delphi - тоже, но там нет основных исходных кодов). Даешь поиск функций по содержимому этих файлов - находишь места, где используются. Если использование убрать - соответствующий функционал будет нарушен.

Редактировалось 1 раз(а), последний 2020-12-17 12:22:58

А можно пути к файлам, где используются эти функции даже в пустой форме?
карма: 0

0
Ответов: 4584
Рейтинг: 730
#6: 2020-12-18 17:29:50 ЛС | профиль | цитата
Notepad++, поиск в файлах, путь - как я указал, маска имен файлов - *.pas
Например, HiAsm\compiler\fpc\kol.pas, если используется компилятор FPC. Если используется компилятор Delphi, то там нет этого файла (используется скомпилированный kol.dcu, исходник где-то был на форуме).

Редактировалось 1 раз(а), последний 2020-12-18 17:31:39
карма: 26

0
Ответов: 861
Рейтинг: 101
#7: 2020-12-19 01:28:35 ЛС | профиль | цитата
что бы создать пустую форму на любом языке, минимум нам понадобиться LoadLibrary, GetProcAddress,
а если кто то не уверен в чистоте исполняемого файла, рекомендую проверить тут https://app.any.run/
карма: 1

0
Ответов: 4584
Рейтинг: 730
#8: 2020-12-21 12:02:20 ЛС | профиль | цитата
При условии статической линковки - не понадобится.
карма: 26

0
8
Сообщение
...
Прикрепленные файлы
(файлы не залиты)