После всех замечаний и просьб, выкладываю выводы своих экспериментов со скринами.

Сразу напишу, что получилось не так как хотел.

Ход мыслей , что бы антивирю труднее было обнаружить. Надо:

1 Увеличить обьем, накидать мусора.

2 Поставить подпись

3 Упаковать зловреда.

Подпись мы поставили старика Руссиновича, размер и так взлетел. Осталось только упаковать.

Только в чем? И тут мелькнула мысль , а не обратиться ли мне к Биллу Гейцу? Не поможет ли он мне упаковать вирус с фирменным клеймом своего софта.

И Билл помог.



Это программа IExpress.

Располагается она в c:\windows\system32/iexpress.exe, и поэтому ее можно вызывать без указания полного пути. У нее два основных назначения – создание относительно простых инсталляторов и самораспаковывающихся архивов (файлы с расширением exe).

Еще и еще один плюс - у антивирусов нет аллергии на полученный исполняемый файл, так как стаб свой виндовский, то есть доморощенный.

Прикинув все это к носу и потерев руки я занялся творчеством.



Картинка не хочет прикреплятся смотрим тут http://lqdc.github.io/images/finfish...tedAcouchi.gif

Учитывая пожелания я долго и нудно искал эксплоит на Veil, который палится доктором Вебом.

Поиски были тщетны, тогда на виртуалке поставил Авиру, которая единственная обнаружила все.

Скрин как уже упакованный IExpress зловред прошел проверку.







Пришлось скачать Макафи, который видел его с цифровой подписью,



Но не видел после упаковки,



ликуя от радости, запустил зловреда и...



антивирь поймал его на лету при распаковке.

Вот как-то так прошел мой опыт.

Вывод. Стаб всё таки прикрывает вирус, но только до инсталляции.

Но мне тут Kevin Shindel подкинул отличную идейку по скрытию зловреда, так что как только поюзаю, то обязательно напишу.

Уныние это не про нас.