Как изменить сигнатуру программы ?

[nocopyes]

Программа "стаб" другой программы. ее цель - склеивать несколько файлов в один исполняемый Win32 PE (формат EXE)
по некоторым причинам сигнатура стаба была залочена АВ компаниями как хакерское средство
сам я не программирую на ассемблере, больше на дельфинах но для моей непосредственной работы эта утилита очень нужна. пробовал (по примерам из книжек) вносить мусорные конструкции в код стаба но результата не добился совершенно никакого ... видимо нужно перестроить его весь (не только секцию ОЕР).
Буду признателен любой помощи как в коде так и совете

[Mikl___]

nocopyes
прикрепил бы что ли свой стаб, чего на кофейной гуще-то гадать

[nocopyes]

Приношу извенения, просто не знал что можно прилепливать сорец к топику темы с вопросом
П.с. файл не компилил дабы не говорили мол зараза и прочее
Коре: MASM32
Линкер: 5.12.8078 (FIXED)

[Mikl___]

nocopyes
Скомпилировал бы файл было б интереснее... Пока могу сказать следующее, сам DOS-стаб вполне невинный, с точки зрения AV опасность представляет второй файл содержащий зашифрованный импорт следующих API-функций: CloseHandle, ShellExecuteExA, ExitProcess, CreateFileA, GetSystemDirectoryA, GetTempFileNameA, GetTempPathA, GetWindowsDirectoryA, GlobalAlloc, WriteFile, DeleteFileA, GetModuleFileNameA, wsprintfA, CreateDirectoryA, GetCurrentDirectoryA, RegCreateKeyA, RegSetValueExA, GetProcAddress, WaitForSingleObject
Для зверьков наибольший интерес представляют функции: RegCreateKeyA, RegSetValueExA и CreateFileA. А вот вы можете объяснить для чего для склейки файлов, как вы говорите необходимо лезть в реестр? И почему на Дельфи нельзя написать собственный инструмент для склейки файлов?

[nocopyes]

Mikl
Спасибо за наводку, буду знать... хотя ... я и из дельфина в реестр хожу через эти АПИшки и мой авер молчит... вопщем буду знать куда копать

Цитата:

И почему на Дельфи нельзя написать собственный инструмент для склейки файлов

Ну почему нельзя - можно, просто есть готовое решение, зачем изобретать велосипед. Да и стаб будет не 2 Кб тогда, а как минимум 140 (и выше) а это уже серьезный минус любой программы, не говоря уже про скорость
Все равно спасибо за подсказку, правдо остался еще сопуствующий вопрос - чем можно заменить походы в реестр кроме уже выше представленных функций ?

[alexcoder]

можно еще закриптовать. Например простейшим алгоритмом XOR. Распаковщик в памяти будет занимать всего несколько десятков байт.

[Mikl___]

alexcoder
а Avir'ы как раз и ищут механизм расшифровки, особенно когда начинается подозрительная запись в область .text
nocopyes
тогда переходите на ассемблер и стаб будет 4 байта, а сама программа вместе с заголовком, кодом, импортом и ресурсами займет 2 Кб без всяких шифровок и распаковок

[nocopyes]

alexcoder
Mikl
товарсчи, ну это уже крекерство, как минимум
мну же не прошу никого ничего ломать, а просил о совете в коде или статье
да ине и не нужно мне никому впаривать вирусы или трои. просто очень часто прихидтЦО делать инсталлы своих программ на Delphi ...
хотя можно было бы объеднить все нужные активы в один EXE

сорри что так получилось, просил о помощи в коде а не совете ксорить или переходить на другои язык
... создать новую секцию, вставить антиотладочный полиморфный мусор, вернуть все на свои места в ОЕР и вуала - криптер
тока мне не нужно скрывать свои программы, просто хочу объеденить их