Einzelnen Beitrag anzeigen

Benutzerbild von Aphton
Aphton

Registriert seit: 31. Mai 2009
1.198 Beiträge
 
Turbo Delphi für Win32
 
#24

Re: Heuristik-Fund bei ShellExecute/CreateProcess/WinExeC

  Alt 20. Mai 2010, 20:02
Sobald bestimmte Calls in der Importtabelle der Exe drin stehen, tendieren die meisten AV-Software auf eine verdächtige Datei.

Eine (praktische) Lösung wäre zB.: du lädts die DLLs und ermittelst die Adressen der
Funktionen - zur Laufzeit. Somit sind sie auch nicht nach der Kompilierung in der Importtabelle deiner Exe...

Wichtig dabei ist auch, dass du zB nicht soetwas wie das hier machst:
MyShellExec := GetProcAddress( hDLL, 'ShellExecuteA' ); denn, dann beinhaltet die Exe wieder den String "ShellExecuteA".
Delphi-Quellcode:
MyShellExec := GetProcAddress( hDLL, pChar( SimpleDecrypt('XsGgfdASasdsa') ) );
{Anmerkung: "XsGgfdASasdsa" ist jetzt nur ein Beispiel - entschlüsselt sollte dieser Buchstabenhaufen "ShellExecuteA" ergeben}

MfG
das Erkennen beginnt, wenn der Erkennende vom zu Erkennenden Abstand nimmt
MfG
  Mit Zitat antworten Zitat