Citação Originally Posted by romariols Ver Post
A premissa é boa e ela realmente te faz acreditar que pode trazer algum resultado, mas a verdade é que isso não vai adiantar de nada, pode até piorar. O próprio executável main.exe de todos os servidores privados tem o código crackeado com base no original WebZen, passei um bom tempo analisando e tentando resolver este problema do false-positive com engenharia reversa, também tentei algumas das dicas citadas, um executável com o código extremamente alterado como o main.exe nunca vai ser aceito pelos verificadores, precisa-se de um código limpo sem realocações e isso todos sabemos que o Main MuOnline não tem.

As chamadas para os APIs GetAsyncKeyState, WSAStartUp, Rec, Socket, Shell e algumas outras que andei analisando, são muito antigas e suspeitas. Para confirmar basta dar uma rápida olhada com OllyDbg + Scylla que vc vai notar muitos APIs inválidos ou suspeitas, ao fixar alguns o arquivo fica até inutilizado.

[Somente membros podem ver os links. ]
[Somente membros podem ver os links. ]

Uma das coisas que eu fiz e teve resultado, foi o uso das ferramentas OllyDbg + Scylla, como funciona?

Primeiro, vc abre o executável com o Debbuger OllyDbg, aguarde a leitura do código do executável completamente.
OBS: Use um Main.exe sem nenhuma DLL externa hookada e que o EntryPoint original não tenha sido alterado.

Segundo, o OllyDbg vai te dar o EntryPoint original e seu Main.exe vai estar aberto em segundo plano, a próxima etapa é vc executar o Scylla em modo Administrador, com isso vc terá anexo os processos em execução na sua máquina, e com alguns offsets vc pode pesquisar e importar OEPs inteiros para reconstruir ou fixar APIs.
OBS: Para quem não sabe o Scylla é uma ferramenta de análise e reconstrução de arquivos com suporte a 64x, 86x e unicode.

Isso é só uma base para quem quiser procurar saber sobre o assunto, vale apena, pq se vc quiser ser um bom administrador vai precisar dessas ferramentas.

Isso foi oq realmente deu resultado nos meus arquivos, mas é um processo delicado e exige tempo e dedicação, eu cheguei a ter apenas 2 false-positivos em um dos meus Mains em 2017. Quem quiser limpar seu Main, na minha opinião, tem que procurar essa opção, enviar formulários não vai resolver.
Comprando o certificado de uma autoridade certificadora resolve o problema instantaneamente, sem nenhum outro segredo.

Com isso é possível inclusive criar aplicações maliciosas que os AVs fazem vista grossa, claro que com o risco de perder toda a credibilidade do certificado todo.

Praticamente todas as aplicações que usamos no Windows fazem chamadas a APIS antigas ou mesmo não documentadas, nem por isso são maliciosas.

O Chrome por exemplo, veja a IAT e me explica como um antivírus vai analisar aquilo e não dizer que é algo suspeito... O segredo está na assinatura digital.

No passado o certificado do CCleaner vazou e hackers criaram vírus em cima de uma assinatura digital com boa reputação.




Enviado do meu iPhone usando Tapatalk