Einzelnen Beitrag anzeigen

Benutzerbild von ErazerZ
ErazerZ

Registriert seit: 27. Mai 2005
Ort: Baden
315 Beiträge
 
Delphi 2007 Enterprise
 
#26

Re: Heuristik-Fund bei ShellExecute/CreateProcess/WinExeC

  Alt 20. Mai 2010, 21:34
Zitat von Aphton:
Sobald bestimmte Calls in der Importtabelle der Exe drin stehen, tendieren die meisten AV-Software auf eine verdächtige Datei.

Eine (praktische) Lösung wäre zB.: du lädts die DLLs und ermittelst die Adressen der
Funktionen - zur Laufzeit. Somit sind sie auch nicht nach der Kompilierung in der Importtabelle deiner Exe...

Wichtig dabei ist auch, dass du zB nicht soetwas wie das hier machst:
MyShellExec := GetProcAddress( hDLL, 'ShellExecuteA' ); denn, dann beinhaltet die Exe wieder den String "ShellExecuteA".
Delphi-Quellcode:
MyShellExec := GetProcAddress( hDLL, pChar( SimpleDecrypt('XsGgfdASasdsa') ) );
{Anmerkung: "XsGgfdASasdsa" ist jetzt nur ein Beispiel - entschlüsselt sollte dieser Buchstabenhaufen "ShellExecuteA" ergeben}

MfG
Wenn er schon damit anfängt dann kann das ja was werden, sowas ist keine Lösung. Wenn schon dann maximal GetProcAddress ( hDLL, "ShellExecute" ), aber mehr auch nicht. Er kann ja nichts dafür, dass ein AntiViren Hersteller schlechte Signaturen benutzt ( false positives kommen oft vor ).
Am besten du schreibst ihnen eine Mail, und verweist eventuell auf den Thread hier. Sie sollten dann im besten Fall die Signatur rausnehmen.
Weil dass du jetzt extra deinen Code umprogrammieren musst nur weil ein AntiViren Hersteller meint dein Programm sei böse, das ist keine Lösung.
  Mit Zitat antworten Zitat