Zoom Icon

UIC Faq

From UIC Archive


Contents

UIC Infos

FAQ Last Update: 10/Jan/2007

Written by: *Quequero

Devo sapere qualcosa prima di iniziare?

Inoltra un'email agli owner SOLO se:

  1. Dopo aver letto TUTTE le FAQ non trovi risposta alla tua domanda.
  2. In mailinglist nessuno sa risponderti.
  3. Non trovi nessuno che sappia risponderti sul forum.
  4. Sul sito non trovi risposta.
  5. Google non è in grado di aiutarti.

Ricorda che le tue email saranno cestinate se la risposta alla tua domanda è presente nelle FAQ, oppure l'argomento è già stato trattato sul sito/forum/mailinglist.

Qual'e' la Home della UIC?

Ci sei sopra: http://quequero.org

Quali mailinglist sono presenti?

  1. Reversing: UIC (at) yahoogroups (dot) com
  2. Hacking: UIC-hacking (at) yahoogroups (dot) com
  3. Programmazione: UIC-programmazione (at) yahoogroups(dot) com
  4. Hardware: UIC-hw (at) yahoogroups(dot) com
  5. Psx: UIC-psx (at) yahoogroups(dot) com
  6. Management: UIC-Management (at) yahoogroups(dot) com

Ad ogni modo dai anche uno sguardo alla pagina UIC Mailinglists.

Come si legge Quequero e cosa vuol dire?

Potete leggerlo un po' come volete, io lo pronuncio cosi: Quèquéro, ma quasi tutti mi chiamano Quéquèro, qualcuno mi chiama anche: Chechèro. Se mi chiama Q o Què è uguale :). In origine non significava nulla di particolare (no, non vi dirò mai da dove viene ihihih), ma col passar del tempo ho scoperto che esistono vari significati:

  • In latino: che chiede
  • In napoletano: un tipo buffo
  • In barese: una mazzata
  • In spagnolo: "che ama" ma anche: "colui che amministra un bordello"
  • In filippino: è il nome di un pesciolino maculato (il ketang) che arriva mediamente a 16-17cm di lunghezza, sulla pancia è rosa e sfuma verso il verde scuro sul dorso. Se ne conoscete altri fatemi sapere.

Lame FAQ

Posso chiedere crack sulla mailing list?

Assolutamente no, è tassativamente vietato chiedere crack o serial di qualunque tipo

Posso mandare catene di S. Antonio o simili ai membri della Mailing List?

Se lo fai sarai bandito dalla UIC

Devo inserire per forza i miei tutorial nel form?

Si ma non credo avrai problemi, abbiamo studiato dei template che creano il form automaticamente, quindi la stesura dei tutoriale è piuttosto rapida.

Mi dai la password per il sito http://xyz.xyz.xy ?

Assolutamente no, siamo reverser non hacker.

Quequero davvero sei una donna?

La sezione about me non ti convince? Si sono una donna e trovo che non ci sia nulla di male.

Come faccio a conversare su IRC con voi?

Scarica il mIRC da h**p://www.mirc.com installalo avvialo e nella barra dei comandi scrivi: /server irc.azzurra.org Appena si collega scrivi: /j #crack-it ci troverai lì.

Posso fare pubblicità al mio sito sulla mailinglist?

Si... Ma SOLO se il tuo sito è inerente all'argomento trattato dalla mailinglist, è comunque buona regola chiedere prima il permesso agli owner.

Dove trovo dei virus?

Qualche sorgente di virus lo puoi trovare direttamente sul sito.

Come mi iscrivo o mi cancello dalle Mailing Lists della UIC?

Prova a leggere la pagina dedicata alle UIC Mailinglists

Quante mail al giorno posso postare in ML?

Quante ne vuoi purche' siano in topic, le altre verranno cestinate dai moderatori

Con quali versioni del NetBus è compatibile QueBus?

Con la console del Netbus 2.0 e 2.1, ricorda, il QueBus va usato come se fosse il file Nbsvr.exe, anzi, va usato AL POSTO di Nbsvr.exe.

Dovrei farti un paio di domande sull'Assenzio, posso?

Se la ricetta non ha chiarito i tuoi dubbi allora si.

General FAQ

Dove trovo il form per i miei tutorial? A cosa serve?

Prima leggi le regole per la pubblicazione lì troverai anche il form, serve a dare ai vari tutorial uno stile uniforme al quale l'occhio può abituarsi con facilita', in questo modo sarà più facile tanto scriverlo, quanto leggerlo.

Come posso contattarvi?

Sul sito di Quequero nella sezione Contact Us troverai tutti i riferimenti di cui hai bisogno.

Posso inoltrare allegati nella ML?

Si ma solo se sono di dimensioni inferiori ai 150Kb e solo dopo l'approvazione di un coordinatore.

Come posso imparare a crackare?

Leggi i primi tutorial che trovi alla UIC oppure segui i corsi. Preparati a studiare molto, dovrai apprendere nozioni di: programmazione, matematica normale, esadecimale e binaria, ASM, ZEN, ginnastica oculare (dopo le molte ore passate davanti al monitor), lingua Inglese, Kiromanzia, ecc...

Come faccio a partecipare ai corsi?

Iscriviti alla UIC mandando una mail vuota a: UIC-subscribe(at)yahoogroups.com oppure alla mailinglist che ti interessa, una volta iscritto segui le lezioni e poi manda al responsabile di turno la tua soluzione, entro il limite prestabilito.

E se al posto di SoftIce volessi usare OllyDbg dove potrei trovarlo?

Al momento in cui scriviamo la home di OllyDbg risulta essere: http://www.ollydbg.de ma puoi scaricarlo dalla sezione Downloads.

Dove posso trovare questo o quel programma?

Se non nella sezione Downloads prova ad andare su http://protools.cjb.net altrimenti cerca su: Astalavista.box.sk, Google.com, Altavista.digital.com, HotBot.com, Lycos.it, Virgilio.it, Excite.it, Yahoo.com... Usa dei Listserv, usa Archie, chiedi agli amici o prova su: http://playtools.cjb.net, http://crackstore.com o cerca nella sezione Links della UIC.

Posso prendere dal sito di Quequero dei vostri tutorial e metterli nella mia E-zine/Sito?

Certo che puoi, a patto di leggere, ed accettare, le condizione di distribuzione. È comunque buona norma chiederne anche il permesso all'autore prima di pubblicarlo, l'E-Mail la trovi nel tutorial.

Quale browser mi consigliate di usare per navigare?

Io consiglio sempre [http://www.mozillaitalia.org/firefox Mozilla Firefox stabile, estendibile e soprattutto molto veloce.

Crackare illegale?

Dipende. Molti software ti ammoniscono, pena violazione della loro licenza, a disassemblare anche solo per guardare il loro programma. Per evitare "grane" in questo senso vengono fatti dei crackme che sono dei programmini semplicissimi senza alcuna funzione che contengono esclusivamente il menu di registrazione. Hanno diversi gradi di difficoltà e regole dettate dall'autore, esercitati con questi per imparare, migliorarti e testare le tue qualità.

Cos'è realmente la UIC?

La UIC è un gruppo nato per spiare tutte le azioni che vengono compiute all'interno del Pentagono, per seguire gli utenti senza che se ne accorgano e rubargli tutto il loro denaro... Mmm scherzo eh? :). La UIC è un'Università che si preoccupa di farti apprendere le arti del cracking e poi quelle del reversing, ti inizia ad un mondo nuovo che può dar molte soddisfazioni personali, senza per questo farti compiere atti illegali come la creazione di Crack.

Cosa NON è la UIC?

La UIC non è cracking contro i programmatori shareware, non facciamo alcun tipo di crack, tutti gli esperimenti semmai li facciamo sul nostro amato PC, i nostri membri non fanno crack, se trovate il crack di una persona che dice di essere nostro membro allora state certi che non lo è, questo infatti è il nostro marchio di riconoscimento, reversiamo per passione non per impoverire i programmatori... Che poi è anche il lavoro di molti di nostri membri.

Chi sono i coordinatori della UIC?

Quequero, Tin_Man, phobos, Andreageddon.

Come si fa ad inserire un tutorial nel form?

Leggi direttamente la Guida alla Pubblicazione, ti assicuro che è molto semplice.

Che differenza c'è tra Cracking e Reverse Engineering?

  • "Reverse Engineering, in ogni campo dell'ingegneria, significa semplicemente analizzare una macchina che non hai costruito, per apprendere come è stata fatta. È una pratica legittima e accettata in tutti i campi dell'ingegneria". - Richard Stallman.
  • Cracking significa: "L'insieme di quelle tecniche volte ad aggirare le protezioni dei programmi chiusi. La "sprotezione" avviene per lo più modificando il codice eseguibile del programma (patching) e nella maggior parte dei casi non richiede una fase di studio approfondito del codice. Quando un cracker sprotegge un programma di solito scrive un piccolo eseguibile (crack) per patcharlo automaticamente; questa tecnica, oltre ad essere illegale, non spinge allo studio del Reverse Engineering."

Technical FAQ

Ho windows ME e softice non mi funziona, che devo fare?

Dai uno sguardo alla sezione Reversing, ci sono un paio di tutorial che spiegano come fare, utilizza anche la funzione search presente sul sito.

Ho windows XP e non riesco ad installare softice, che devo fare?

SoftIce su Win XP SP1

Nota: Bisogna installare il Numega Driver Studio.
Ci sono alcune opzioni che permettono di installare SoftICE su Windows XP Service Pack 1:

  • Opzione 1: (SoftICE 2.6 e successive) - Inserire "NTSYMBOLS=ON" nel file di configurazione "winice.dat" e scaricare tradurre ed effettuare il loading dei simboli per il file ntoskrnl.exe. Il neo di questa procedura è che tastiere o mouse USB, non funzioneranno dopo l'avvio del debugger.
  • Opzione 2: (SoftICE 2.7 e successive) - procuratevi una copia di osinfo_XPSP1.bat dal seguente ftp: f*p://ftp.compuware.com/pub/driverstudio/outgoing/OsInfo/osinfo_XPSP1.dat

Rinominate il file da .dat a .bat e copiatelo nella vostra directory \\system32\\drivers fatto ciò riavviate il PC.
Nota: Sovrascrivere il file è l'unica cosa richiesta. Non dovrete aggiornare il vostro winice.dat con NTSYMBOLS=ON. Non avrete bisogno molto probabilmente dei simboli.

(Note Addizionali di Supporto)

Nota: Ci sono altri parametri che possono risultare necessari. La procedura seguente è necessaria se si verifica una "hook failure" nella command window di SoftICE:

  1. Aggiornare osinfo.dat ed avviare SoftICE
  2. Scrivere nella command window 'mod ntoskrnl'. Questo comando fornirà le informazioni sul modulo ntoskrnl. Quello che ci interessa è la base di ntoskrnl. Prendere nota dell'indirizzo.
  3. Scrivere nella command win di SoftICE:
    1. Per Kernels a processore singolo - '? (base address di ntoskrnl.exe)+0xBDC32
    2. Per Kernels SMP - '? (base address di ntoskrnl.exe)+0xDEBF2
  4. Segnare l'indirizzo ottenuto.
  5. Utilizzando regedit aprire la chiave "HKLM\\System\\CurrentControlSet\\Services\\Ntice"
  6. Aggiungere una dword chiamata 'Addr.NtTerminateProcess'
  7. Settarne il valore uguale a quello che abbiamo ottenuto nel passo numero 3, omettendo lo 0x iniziale
  8. Reboot del PC e tutto dovrebbe andare... ;)

Per SoftICE 2.6 e/o 2.7 si intendono tutte le loro varianti di installazione. DS 2.6, SIS 2.6, SoftICE 4.2.6 sono tutti equivalenti. Stessa cosa per la 2.7 e varianti. Se usate Xp SP2 potete guardare qui (grazie rocco) :h**p://frontline.compuware.com/nashua/kb/doc/1846.asp

Ancora problemi col softice?

Prima di scrivere in mailinglist dai uno sguardo qui:

Se metto un breakpoint SoftIce mi dice: "Symbol Not Defined", perché?

Evidentemente il tuo file winice.dat non è configurato a dovere, prova a scaricare il file winice.dat, sostituiscilo al tuo e riavvia il computer, ora tutto dovrebbe funzionare a dovere. Questo vale solo per Win9x/ME, per Win2K/Xp il problema non si pone

Ho Win2k/Xp/2003 e non trovo il winice.dat dov'e'?

Leggi la domanda di sopra... Non lo troverai mai semplicemente perché non serve.

Se disassemblo un programma con il W32Dasm dopo un po' quest'ultimo crasha perché?

Probabilmente il file è stato Packato e/o Crittato, prova prima a decrittarlo. Se invece non è criptato o packato, può esserci qualche trucco antidisasm (molto rari) prova a disassemblarlo con IDA che non si blocca in presenza di certi trucchi.

Come unpacko/decritto un file packato/crittato?

Prova ad usare ProcDump oppure leggi i nostri tutorial.

Ho disassemblato un file con win32dasm, ma il contenuto completamente illegibile!

Se il programma non è packato/crittato vuol dire che stai usando un font non adatto. Settane uno che ti permetta di visualizzare al meglio tutte le istruzioni, andando su: Disassembler->Font.. ->Select Font. Prova per esempio Courier New normale

In SoftIce i byte che vedo sono differenti da quelli del disassemblato, perché?

Il file è packato o crittato e quindi una volta mappato in memoria è ovviamente diverso, unpacka/decritta il file per avere gli stessi indirizzi.

Devo andare all'offset 1234h ma non so cosa sia l'offset e come ci si arriva!

L'offset è l'indirizzo reale all'interno del file del byte in oggetto, ovvero la sua distanza dall'inizio del file, il primo byte avrà offset 0h, il secondo 01h, il decimo 09h ecc... In pratica apri il file con un qualunque editor esadecimale e clicka su "Go to offset..." inserisci il tuo numero e ti ritroverai dove serve.

In SoftIce gli indirizzi non corrispondono a quelli del file come mai?

Il formato dei file Win9x/ME/2K/Xp si chiama PE (Portable Executable) e non è un formato lineare, ma contiene un header e delle sezioni, che vengono caricate e riunite a runtime, per ottenere l'indirizzo nel file di un istruzione o di un blocco di istruzioni devi convertire l'RVA (Relative Virtual Address) nel suo Offset, la via più semplice è disassemblare il file e farsi dire dal disassemblatore l'offset nel file, in W32Dasm lo puoi leggere in fondo nella barra di stato, in IDA seleziona Patch program/Byte dal menu e scriviti l'offset.

Come si usa un crack?

Non è difficile, normalmente i crack vengono forniti con un file .txt o .nfo (li puoi aprire con notepad) dove c'è scritto sempre qualcosa tipo:

    Copy "Crack.exe" to the same directory as Program XYZ.
    Now run the file and the program will be Unlocked/Cracked

Quindi tutto quello che dovete fare è leggere quel file. Se non c'è le alternative sono 3:

  1. Si tratta di una patch: prendete il file e mettetelo nella directory principale del programma, clickate sul crack ed automaticamente (o manualmente) cercherà il file principale del programma e lo modificherà, dopo di che non dovrete far altro che avviare il programma.
  2. Si tratta di un keygenerator: avviatelo, vi chiederà di inserire un nome, clickate sul tastino che in genere si chiama "generate" ed apparirà un codice. Aprite il programma principale, cercate il menù di registrazione ed inserite gli stessi dati che avete utilizzato sul keygenerator.
  3. Si tratta di un loader: avviatelo, vi chiederà di indicargli il path dove si trova l'eseguibile principale del programma, trovatelo ed il loader stesso si prenderà cura di caricare in memoria e modificare il vostro programma. Ovviamente dovrete sempre usare il loader per caricare il programma, dal momento che lavorando in memoria le modifiche al file non vengono salvate.

Se non si tratta di un programma, ma di un file con all'interno un numero seriale... Beh non dovrete far altro che inserire quel seriale nel primo box di registrazione che vi apparirà in fase di installazione (o che troverete nel solito menu Help | Register...)

Come si crea un crack?

È una cosa che non dovresti fare ma che potrebbe comunque tornarti utile, puoi scrivere la patch in ASM, ma allora non saresti qui a leggere queste FAQ, oppure puoi usare uno dei tantissimi patching engine che trovi ovunque, ti viene chiesto solo di selezionare il file crackato e quello originale, il resto lo fa lui.
Non rilasciare il crack in giro, al limite scrivi un tutorial, e se proprio lo vuoi rilasciare NON METTERE IL NOME DELLA UIC IN NESSUN POSTO! Neanche nei greetings né il nick di nessun iscritto o coordinatore, se non preventivamente concordato con lui stesso.

Come faccio a navigare anonimamente?

Hai bisogno di un proxy e lo puoi trovare con un proxy scanner come proxy hunter. Dopo averlo trovato (attento che non è detto che il proxy funzioni), inserisci l'indirizzo nelle opzioni di navigazione del tuo browser e prova ad aprire una pagina, se si apre allora funziona. Prova ad andare su Privacy.net per vedere se sei effettivamente anonimo.Per usi particolari è consigliabile usare i proxy anonimi in cascata inserendoli manualmente nel browser in questa forma:

http://www.proxy1.com:8080/www.proxy2.org:1306/www.proxy3.net:80/www.urlmaledetta.com


Come faccio a scrivere alla ML senza usare l'indirizzo di casa?'

Puoi aprire una casella "anonima" su www.hotmail.com, www.libero.it, www.lycos.it, www.yahoo.it. Oppure puoi usare uno dei tanti servizi di forwarding e farti un forward-account (in pratica la posta viene spedita dall'indirizzo di forward al tuo indirizzo reale).

Come faccio a mandare una email totalmente anonima?

Leggi la nostra sezione dedicata a Privacy e Crittografia.

Ho un file zip protetto da password, come faccio ad aprirlo?

Può essere questione di un secondo come potresti non farcela mai, dipende da quanto è lunga la password che hanno scelto, se hanno usato una parola comune o comunque esistente, se hai lo stesso file zippato con le stesse opzioni ma SENZA password, oppure se il file è tuo, e hai dimenticato la password esatta, ma hai un'idea più o meno di com'era.
Esistono vari software freeware e commerciali che puoi scaricare dalla rete e che ricercano la password per tentativi o mediante vocabolari o altri metodi pi raffinati, ma la riuscita dipende dai fattori suddetti, e ripeto, potresti anche non venirne mai a capo... Anzi prendi questa come opzione più probabile... Comunque prova a scaricare Advanced Zip Password Recovery ed aspetta... Aspetta... Aspetta.

Ho un file di word/excel protetto da password, come faccio ad aprirlo?

Se il file stato prodotto da una versione di word/excel precedente ad
Office 97 il recupero è istantaneo, diversamente vedi quanto detto per gli zip. Un buon sito è cmq www.elcomsoft.com

Mi date le vostre chiavi pubbliche per il PGP?

Quella di Quequero la trovi qui.
Questa è di phobos:

-----BEGIN PGP PUBLIC KEY BLOCK-----
Version: PGP 8.0.2 - not licensed for commercial use: www.pgp.com
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=IbxP
-----END PGP PUBLIC KEY BLOCK-----

Perche' il QueBus e non il NetBus?

Perche' con le nuove versioni del NetBus se dai il server alla vittima non infetti proprio nulla... NB: il QueBus funziona solo su win95/98 e su win2k/ME/XP/2003 solo se l'utente che riceve il file è loggato come amministratore.

Cos'e' il QueBus e cosa fa?

Ora ne spiegherò dettagliatamente il funzionamento: QueBus è un server NetBus 2.0/2.01 modificato da me, ha la particolarità di generare delle chiavi nel registro completamente differenti da quelle del NetBus "normale". Al momento dell'avvio il file si copia con un nome CASUALE in c:\%windir%\system.

Addendum:
A seguito della sua diffusione QueBus è diventato visibile da buona parte degli AntiVirus, se desiderate usarlo allora accertatevi di configurarlo e poi comprimerlo con utility come ASPack... Ricordate inoltre che se il computer vittima utilizza Windows ME/2k/Xp allora dovete sperare che sia l'amministratore ad eseguirlo (e di default succede cosi'), un utente normale non sortirebbe alcun effetto.

Addendum 2:
Oramai è uscito anche Windows Vista... Quindi vi consiglio di usare il QueBus solo come esercizio di reversing e non più come trojan perché risulterebbe ben poco funzionale

Come ci si disinfetta dal QueBus?

La prima cosa da fare se vi siete infettati è cancellare nel registro di windows (Menu Avvio -> Esegui: Regedit.exe) la stringa "SVGA Video Driver" che si trova in:
HKEY_LOCAL_MACHINE\Software\Mircosoft\Windows\CurrentVersion\RunService ed anche le altre chiavi si trovano in:
HKEY_CURRENT_USER\Web e sono:

  • Web\TCP_IP
  • Web\DefBrowser con relative subkey:
    • Downl
    • DNSHost
    • PingTimeRe
    • InternetSp
    • LocationT
    • Referrer

Ad ogni modo per rendere il QueBus innocuo basta cancellare soltanto la key in:
HKEY_LOCAL_MACHINE\Software\Mircosoft\Windows\CurrentVersion\RunService e ravviare. A questo punto il QueBus sarà ancora presente sul pc ma TOTALMENTE innocuo in quanto NON avviato.

Quali file genera il QueBus?

Netbus "Originale" genera un file di log che si chiama Log.txt, ora questo file viene creato in C:\%windir%\System e si chiama s_s.vxd, solo che è totalmente vuoto, poi esisteva una dll che si chiamava NBHelp.dll, solo che Quebus la rinomina come: mfc40a.dll. Questi sono TUTTI i file e le chiavi che QueBus genera, quindi una volta tolti non c' più pericolo, l'unico problema se vi infettate è quello di trovare il Server visto che si mette in %windir%\System con nome casuale, ma basta fare Visualizza tutti i file, ordinare per data la directory System, e cercare tra i primi file quello con nome più assurdo grande 300kb~ :).

Come si usa il QueBusLoader per configurare il server QueBus?

Avvia il QueBusLoader e inventati dei settaggi, rinomina il file quebus.que come nome_che_ti_piace.exe e mandalo a qualcuno, ecco l'esempio:

  • Destination: Un_Nome_A_Caso
  • Host name/IP: L'hostname o l'IP della vittima
  • Run on port: sceglila tu
  • UserName: Administrator
  • Password: sceglila_tu

Allora, la porta a la password si possono cambiare, l'username non si deve cambiare.

Come trovo l'ip della mia vittima?

Per l'ip spesso è necessario fare un: /whois nick SE la vittima si trova in IRC, e verrà mostrata una cosa tipo questa: [Vittima] is [email protected] <mailto:[email protected]> * [Vittima] [Vittima] using irc.flashnet.it Cybernet Italia SpA, Italy [Vittima] End of /WHOIS list. Il nome è a-ss4-18.tin.it, nome ed IP sono indifferenti, tutti e due stanno SEMPRE dopo la @:
[email protected]_C'_L'IP/nome
Potete usare sia l'uno sia l'altro, ma ricordate che su reti come Azzurra o DALNet l'ip viene oscurato, quindi per trovare l'ip l'unico metodo è farsi fare una DCC dalla vittima.
Altrimenti basta farsi mandare una mail, clickare col destro su cotal mail, scegliere Proprietà e quindi Dettagli, l'IP in genere si trova qui: Return-Path: <[email protected] <mailto:[email protected]>> Received: from smtp.dio.it (smtp.dio.it [163.0.0.255]) by smvdio-mc.mail.com (8.9.3/8.9.1SMV2) with ESMTP id HAA01225 for>[email protected] <mailto:[email protected]>> sent by <[email protected] <mailto:[email protected]>> Tue, 16 May 2000 07:30:55 -0400 (EDT) Received: from Mittente (151.28.118.154) by smtp.dio.it; 16 May 2000 13:29:59 +0200 Message-ID: <[email protected]> From: "Io sono il mittente" <[email protected] <mailto:[email protected]>> To: <[email protected] <mailto:[email protected]>> L'ip in questo caso e': 151.28.118.154 e si trova DOPO il campo "Received". Per messaggi inviati ai NewsGroup invece l'ip si trova dopo il campo: NNTP-Posting-Host: 151.28.118.154

Quali tecniche esistono per infettare qualcuno?

Per infettare qualcuno si può mandare il file tramite IRC spacciandosi per qualche modella e dicendo di voler far vedere quel set di foto, stanno in .exe perché hanno lo scorrimento automatico ;p, o si possono mandare a qualcuno dicendo che è la patch per NudeRaider o per qualche altra cosa... Insomma, l'unico limite è la fantasia.

Posso rinominare il file come .jpg?

E Poi come lo avvii? L'unica cosa che puoi fare e' rinominarlo come file.jpg.exe se la vittima non ha settata l'opzione "Visualizza estensioni" allora vedrà file.jpg altrimenti no.

Posso unirlo ad un programma?

Si puoi usare SilkRope per unirlo ad un programma e farlo avviare silenziosamente, oppure puoi usare l'exejoiner degli Spippolatori, ma in entrambi i casi l'invisibilità agli antivirus scompare.

Il compilatore in fase di linking mi da questo errore, cosa posso fare?

Dai uno sguardo qui:
h**p://msdn.microsoft.com/library/en-us/dv_vcce4/html/evoriLinkerToolsErrorsandWarnings.asp<br

Il Masm mi da questo errore, cosa posso fare?

Qui trovi una lista con i possibili errori ed i loro significati:
h**p://msdn.microsoft.com/library/default.asp?url=/library/en-us/vcmasm/html/vcerrmlerrormessages.asp