merhaba,

heuristic taramalarda dosyayi sandboxda calistirip api call lerini dikkate aliyorlar, dosyanin import ve export tablelerine bakiyorlar, yazdigi yerlere dizin ve registry anahtarlarini kontrol ediyorlar.

analysis yapan elemanlar debugging islemi ollydebug idapro peid cFFExplorer wireshark gibi profesyonel toollar kullanmaktadir.

md5 islemleri son hali.. dosyanin kendisinin md5i alinarak imzasi alinmiyor.
eger oyle olsaydi exe de 1 byte degistirdiginiz anda md5 degisecek ve dosya taninmaz hale gelecekti... bu islemin hex editor ile de ilgisi bulunmamaktadir.

binary dosyanin yukarida da belirttigim gibi api call leri, resource directory(bindirilen dosya varmi? varsa export ediyor mu, ediyorsa calistiriyor mu?)
createprocessA/W
readprocessmemory
writeprocessmemory
set/get threadcontext
urltodownloadfileA/W

ornegin, Avira Antivirusun TR/DropperGEN Detectionu ile ilgili,

dosyanin resource undaki yazilan bilgiler export edilir.
ve ana dosyadan silinir.

"dosya boyutu" < "dosyanin resource boyutu" ise ve
BeginUpdateResourceA
UpdateResourceA
EndUpdateResource
EnumResourceNames
EnumResourceNamesEx
gibi apileri import etmis ise, dogrudan uyari veriyor..

Yada,
dosya sonunda yazilmis veri boyutu stub boyutundan buyuk ise,

direkt olarak Win32AtrapsGen veya TRDropperGen uyarisi veriyor..

Kaspersky icin ornek,
programin init inde eger registry startup alanlarina veri yazilirsa,
Heur Trojan Generic Win32 xxx seklinde bir uyari verir.

neyse, daha fzla yazamayacagim.

api referanslari
http://msdn.microsoft.com/en-us/library/ms648032.aspx

iyi forumlar.

--R10.NET; Flood Engellendi -->-> Yeni yazılan mesaj 09:51:47 -->-> Daha önceki mesaj 09:46:55 --



cocukca olmus hocam. hic bir virusun icinde keylogger virus botnet gibi kelimeler gecmez... (All strings Encrypted) diye bir yazi gorursun black marketlerde profesyonel virus/trojan/worm gibi illegal yazilimlar satin almak istedigin zaman.

Hello Antivirus Company, Im a Stealer. Please Give me a Special Detection NAME!!!

boyle bişi mümkün değil