なでしこ1のpluginDLLのPEヘッダの書き換え
7 views
Skip to first unread message
うぇいく
Oct 18, 2017, 9:47:21 AM10/18/17
to 日本語プログラミング言語「なでしこ」開発
Delphi7の生成した実行ファイルは、ヘッダ部分の情報が
古いに加えて、Delphi独特の部分(タイムスタンプが固定)がある
ようです。
以下のようなプログラムで、MS製のリンカでリンクされた比較的
新しいファイルであるかのように見せかけることで、推論による
検出の反応が変わる可能性があります。
//weyk.la.coocan.jp/files/PEheaderMod.zip
※プログラムはなでしこで書かれてますが、実行中のdllは書き換え
られないため、別途コピーして書き換える必要があります。
更新間隔が短かったり、バイナリイメージが同一バージョンで多数の
バリエーションがあると、マイナス評価になるようなので、
難しいところですが。
古いに加えて、Delphi独特の部分(タイムスタンプが固定)がある
ようです。
以下のようなプログラムで、MS製のリンカでリンクされた比較的
新しいファイルであるかのように見せかけることで、推論による
検出の反応が変わる可能性があります。
//weyk.la.coocan.jp/files/PEheaderMod.zip
※プログラムはなでしこで書かれてますが、実行中のdllは書き換え
られないため、別途コピーして書き換える必要があります。
更新間隔が短かったり、バイナリイメージが同一バージョンで多数の
バリエーションがあると、マイナス評価になるようなので、
難しいところですが。
クジラ飛行机
Oct 23, 2017, 4:41:38 AM10/23/17
to 日本語プログラミング言語「なでしこ」開発
うぇいくさん、以下の有用なツールの作成ありがとうございます。
次のバージョンで、試してみたいと思います。
2017年10月18日水曜日 22時47分21秒 UTC+9 うぇいく:
2017年10月18日水曜日 22時47分21秒 UTC+9 うぇいく:
Reply all
Reply to author
Forward
0 new messages