Win32:Evo-gen

Вроде как уже не новая недоэвристика аваста делает много шума изза своих FP, поэтому я решил рассказать о том как избавить себя от детекта Win32:Evo-gen[Susp]. Мне не жалко)
Пишу быстро и непонятно, для тех кто в теме все и так будет ясно, а для школьников стараться не хочу.

Ставим себе аваст (можно и фри), убеждаемся что он палит файл, выключаем самозащиту и открываем Олли.
Аттачимся к процессу AvastSvc, ищем в модулях algo, делаем поиск по строке +EG%u, и ищем ссылки на неё, находится только один пуш.
Смотрим на процедеру, это сборщик детектов евогена в одну кучу. Далее смотрим откуда вызывается, всего один кэл.

Идем выше по коду на предыдущий кэл, заходим внутрь процедуры и в ней опять же заходим в первый же кэл, там находим цикл с мелкими вложенными циклами.

В конце большого цикла вызов двух процедур, первая из которых проверяет поток данных из базы с данными в файле, а вторая если первая выдает 1 вставляет детект евогена в лист детектов.
Ставми точку останова после test al,al; je ... и чекаем авастом файл. Если есть детект, то будет остановка.
Ничего не делая ставим eip на место после test bl, 0f; je... , тем самым ещё раз пройдем процедуру сравнения данных. Заходим в процедуру сравнения потока, видим там цикл.

Ставим брейкпойны на два cmp edi,edx... жмем F5 и смотрим что с чем сравнивается, первый брейкпойнт говорит, что сравнение большеменьше, а второй только на равно. Есть ещё проверка на 0.
Ну, а что с чем сравнивается и откуда берется сами понимайте, там все просто, у меня в день на каждый файл приходит по 5 таких сигнатур.
Вот и все, если ктото хочет поделиться как фиксить так же хардкорно другие аверы (ну кроме конечно авиры), буду рад.



p.s: школьников прошу больше не беспокоить по пустякам по любой теме. все консультации платные. так как вот в этой теме:

ccc.wf/topic/2420-s-chego-nachat-karding/

можно посмотреть сколько свободных мест.