|
Проблема скомпилированных проектов и антивирусных программ
|
|
| as-master | Дата: Вторник, 12 Августа 2008, 15:25 | Сообщение # 1 |
Разводящий
Группа: Модераторы
Сообщений: 2337
Репутация: 101
Награды: 5
Статус: Offline
| Частенько получаю письма от пользователей типа: "Здравствуйте! Ваша программа "бла-бла-бла" мне очень нравится.
Но мой антивирус Avast (Affee, NOD. Norton, бла-бла-бла) считает её
вирусом трояном (червем, бла-бла-бла). Как мне быть?" Задолбался уже всем отвечать, что вирусов нет, что лаборатория
Касперского это признала, и что в другие лаборатории антивирусных
производителей я писать не в состоянии. ВОПРОС: Есть ли возможность решить эту проблему?
Может быть, упаковка последней версией UPX сможет решить её?
(я упаковывал не последней версией, её скачал тока позавчера).
Да пребудет с вами ММВ!
|
| |
| |
| Alex3A | Дата: Вторник, 12 Августа 2008, 20:38 | Сообщение # 2 |
Друг клуба ММВ
Группа: Проверенные
Сообщений: 2646
Репутация: 39
Награды: 11
Статус: Offline
| Вседело в том, что антивирусам не нравяться некоторые функции АПИ, такие как добавления к файлу,
ибо внедрения вирусов в файл происходит аналогично, в общем это просто их тупость.
|
| |
| |
| as-master | Дата: Вторник, 12 Августа 2008, 22:41 | Сообщение # 3 |
|
Разводящий
Группа: Модераторы
Сообщений: 2337
Репутация: 101
Награды: 5
Статус: Offline
| Во, грамотный ответ!!! В плане разъяснения причин.
Еще бы найти способ устранения проблемы 
Да пребудет с вами ММВ!
|
| |
| |
| Alex3A | Дата: Вторник, 12 Августа 2008, 23:43 | Сообщение # 4 |
|
Друг клуба ММВ
Группа: Проверенные
Сообщений: 2646
Репутация: 39
Награды: 11
Статус: Offline
| Quote (as-master) Еще бы найти способ устранения проблемы
1. Заменить вызов критической функции на ее аналог, могут только чансы.
Функция добавляет что то в конец файла, если файл считать, добавить и переписать
получим тот же эфект.
В принципе - не целесообразно, ибо она вполне легальная.
2. Разработчиков подобных антивирусов - головой об асфальт, за прекрасно проделанную работу.
P.S.
А слабо, набрать статистику, по версиям и авирам, мож действительно
чансы че накрутили, незлобное^_^
У Димки, как я знаю, запасец.
|
| |
| |
| toizy | Дата: Пятница, 15 Августа 2008, 11:17 | Сообщение # 5 |
Студийная субстанция
Группа: Администраторы
Сообщений: 2309
Репутация: 29
Награды: 12
Статус: Offline
| Quote (Alex3A) У Димки, как я знаю, запасец.
У мну их многа, вот тока антивирей нету... только касперский
Жизнь оказалась не такой уж и забавной, как поначалу...
|
| |
| |
| ZyXp10it | Дата: Четверг, 21 Августа 2008, 13:24 | Сообщение # 6 |
Поднаторевший
Группа: Проверенные
Сообщений: 60
Репутация: 0
Награды: 0
Статус: Offline
| Все дело, как мне кажется в том, что некоторые вирусописатели (как правило начинающие, не знающие пока языков программирования) часто юзают MMb как контейнер, джойнер, да и просто "побаловаться" (благо, есть плагины и скрипты, которые при умелом использовании могут здорово навредить пользователю, очень много на MMb пишется программ-обманок, которые отображая какой-то проект, даже бывает игру, скрытно устанавливают в систему всякую шнягу (ко мне даже попадали разновидности пинчей), а у многих антивирей нет проактивки и, когда, MMb используется как контейнер (т.к. раньше, в частности, у каспра (до добавления в базы распаковщика-эмулятора проектор MMB) даже палящиеся проги, засунутые в проект не палились!!!)
Попадая же к аналитикам (особенно, не очень "богатых" антирисную компаний, зачастую аналитики не разбирают, что это не проект MMB - вирус, а шняга, которая к нему прикручена в качестве внедренного файла. И соответственно в базы попадает сигнатура лодера от MMB возле EP, а потом и остальные проекты с этим же лодером, до момента исправления такой ошибки (как, например, с касперским) будут соответственно палить все проекты, даже нормальные... СПОСОБ исправления - один! Изменить лодер своего MMB (папка Player, 3 файла bin), сначала распаковываем UPX, потом редактором, например WinHex правим некоторые параметры (но не все так можно изменить, т.к. при измнения некоторых из них, проекты потом не будут работать), потом пакуем исправленный bin (он же exe, только с расширением bin). Важно, чтобы пакер поддерживал оверлей, т.к. именно в виде оверлея эти лодеры прицепляются к проекту (пример пакеров, поддерживающхи оверлей, UPX, MEW, Ber0 и др.)
|
| |
| |
| as-master | Дата: Четверг, 21 Августа 2008, 13:48 | Сообщение # 7 |
|
Разводящий
Группа: Модераторы
Сообщений: 2337
Репутация: 101
Награды: 5
Статус: Offline
| Quote (ZyXp10it) редактором WinHex правим некоторые параметры КАКИЕ ИМЕННО?????
Мне думается, не всё так просто, если в теме уже отметились такие зубры, как
Alex3A и toizy. Добавлено (21 Август 2008, 13:48)
---------------------------------------------
ZyXp10it, а вообще, твоя теория мне нравится  Супер!
Да пребудет с вами ММВ!
|
| |
| |
| ZyXp10it | Дата: Четверг, 21 Августа 2008, 15:25 | Сообщение # 8 |
|
Поднаторевший
Группа: Проверенные
Сообщений: 60
Репутация: 0
Награды: 0
Статус: Offline
| Quote (as-master) Ха-ха... КАКИЕ ИМЕННО?????
Мне думается, не всё так просто, если в теме уже отметились такие зубры, как
Alex3A и toizy.
Конкретно я заменил некоторые заголовки (где есть слово Multimedia, Standalone и нек. другие), запаковал пакером + скремблером обработал и все пучком стало (мои проекты никогда паляится не будут :))) Добавлено (21 Август 2008, 14:05)
---------------------------------------------
А вообще, если честно, я в нектором роде в курсе ситуации, т.к. еще будучи студентом сам так делал (!!!), еще в MMb 4.6, где лодеры были Petite от Яна Люка запакованы (из-за чего, кстати многие проекты в XP не работали и чансы, тогда сменили пакер на UPX) Так что, могу утверждать абсолютно достоверно: ранее, когда, в частности, у каспра не было в базах распаковщика MMb, все проги, пркрепленные к проекту (даже необработанные, ПАЛЯЩМЕСЯ сами по себе), в составе проекта НЕ ПАЛИЛИСЬ!!! (virustotal тогда тоже выдавал абсолютно 0 "палевность", так что ранее это касалось не только каспра... Добавлено (21 Август 2008, 15:25)
---------------------------------------------
Quote (as-master) "Здравствуйте! Ваша программа "бла-бла-бла" мне очень нравится.
Но мой антивирус Avast (Affee, NOD. Norton, бла-бла-бла) считает её
вирусом трояном (червем, бла-бла-бла). Как мне быть?"
Задолбался уже всем отвечать, что вирусов нет, что лаборатория
Касперского это признала, и что в другие лаборатории антивирусных
производителей я писать не в состоянии.
Т.о. заканчивая дискуссию, хотел бы сказать, что все зависит от того, какую именно сигнатура поймал антивирус:
-> если это проактивка (как у касперского), то это скорее всего ложное срабатывание на какие-то функции (как правило, специфические api вызовы, либо определнный набор экспорта и импорта скомпиленного проекта, часто используемые в вирях). Чаще всего это бывает из-за использования плагинов, т.к чистый MMB у лидеров рынка (Каспер, нод и др) уже давно не палится, т.к. там уже давно знают про существоание MMb и палят его в исключительных случаях (когда некоторые аналитики по ошибке заносят в базы "сам MMb", а не то, что идет вместе с ним (в виде вложения либо в виде dll не важно). Как правило, такие ошибки решаются написанием письма в котором, вы указываете на ложное срабатывание.
-> если это сканер, то это решается еще проще, пишем письмо, где пишем про ложное срабатывание (ошибку аналитиков, (их тоже можно понять, "левых" прог на анализ попадает очень много, а люди не роботы - и иногда заносят по ошибке "сам MMb"). Лидеры рынка (как тот же касперский очень быстро откликаются на такие письма и добавляют распаковку MMb прог в базы либо уберают "ложное" срабатывание (как в случае с менее "богатыми" антивирусными компаниями...
|
| |
| |
| toizy | Дата: Пятница, 22 Августа 2008, 11:57 | Сообщение # 9 |
|
Студийная субстанция
Группа: Администраторы
Сообщений: 2309
Репутация: 29
Награды: 12
Статус: Offline
| А ну, дайте-ка мне тестовый файлег, на который антивирь ругаецо!
Попробую его изменить
Жизнь оказалась не такой уж и забавной, как поначалу...
|
| |
| |
| ZyXp10it | Дата: Пятница, 22 Августа 2008, 12:07 | Сообщение # 10 |
|
Поднаторевший
Группа: Проверенные
Сообщений: 60
Репутация: 0
Награды: 0
Статус: Offline
| Quote (toizy) А ну, дайте-ка мне тестовый файлег, на который антивирь ругаецо!
Попробую его изменить
Бери, в версии 4.9.7 плейер (оригинальный, не видоизмененный), палится сегодняшними базами каспра (ЛОЖНОЕ СРАБАТЫВАНИЕ как Trojan-Dropper.Win32.Agent.ulq), такое будет постоянно, пока каждый не обзаведется "индивидуальными" версиями плейеров...
|
| |
| |
| as-master | Дата: Пятница, 22 Августа 2008, 12:36 | Сообщение # 11 |
|
Разводящий
Группа: Модераторы
Сообщений: 2337
Репутация: 101
Награды: 5
Статус: Offline
| toizy, а в версии 4.8.9.13 моя скомпиленная кукери обнаруживается антивирусниками, кроме Каспера.
Да пребудет с вами ММВ!
|
| |
| |
| ZyXp10it | Дата: Пятница, 22 Августа 2008, 12:54 | Сообщение # 12 |
|
Поднаторевший
Группа: Проверенные
Сообщений: 60
Репутация: 0
Награды: 0
Статус: Offline
| Quote (as-master) toizy, а в версии 4.8.9.13 моя скомпиленная кукери обнаруживается антивирусниками, кроме Каспера.
Самый простой способ ухода от палевности готовых проектов, без ковыряния исходных лодеров, паковка сверху а-ля "бутерброд" (вот простой пример простого бутера: UPX + Scrambler + DalCrypt + AverCrypt, все их давно давно добавили поодиночке в базы всех антивирей, но в куче прога остаетсчя рабочей и не палится) или использовать "непалящийся" полиморфмик-криптер (продает тот же Gloff - самый "популярный" и без кидалова)
|
| |
| |
| as-master | Дата: Пятница, 22 Августа 2008, 13:00 | Сообщение # 13 |
|
Разводящий
Группа: Модераторы
Сообщений: 2337
Репутация: 101
Награды: 5
Статус: Offline
| Quote (ZyXp10it) Во опять "ложное срабатывание" каспра на player MMB (сегодняшние базы) Kaspersky Internet Security 7.0 версия 7.0.1.325 с ТОЛЬКО ЧТО обновленными базами.
Проверил ВСЕ скомпиленные проекты ММВ за период 2004-2008 год.
И только в одном (!!!) файле найдена вредоносная программа (да и то - типа "не вирус"):  Занятны два обстоятельства: 1. Та же версия плеера (бяка обнаружена в английской версии моего ММВ-плеера), но с русским фейсом (больше ничем не отличается!) не палится.
2. После проверки файл стал иметь сегодняшнюю дату и время проверки. С чего бы вдруг?
Касперскому я лечить и удалять его не разрешал. И в доверенную зону не добавлял, просто пропустил. Дима, не хочешь заняться изучением причины? Английская версия плеера лежит тут, размер 621 кб:
http://www.mmbuilder.ru/mmb-player.html
Да пребудет с вами ММВ!
|
| |
| |
| ZyXp10it | Дата: Пятница, 22 Августа 2008, 13:12 | Сообщение # 14 |
|
Поднаторевший
Группа: Проверенные
Сообщений: 60
Репутация: 0
Награды: 0
Статус: Offline
| Quote (as-master) Kaspersky Internet Security 7.0 версия 7.0.1.325 с ТОЛЬКО ЧТО обновленными базами.
аналогично...
кокретно палится player в версии 4.9.7, в остальных нет... (причина, как я уже сказал - ложное срабатывание из-за "ошибки аналитика", скорее всего завтра исправят, я письмо уже накатал...
Quote (as-master) И только в одном (!!!) файле найдена вредоносная программа (да и то - типа "не вирус"):
случаем, не not-virus:Hoax.Win32.Freeline
свои проверить не могу, т.к. нет их на компе, где я сейчас, но и без этого знаю, что будет достаточно несколько постояннх срабатываний (на несколько зарубежных плагинов (как потенциально-опасное ПО) и на некторые ранние проекты (как правило, Hoax (обманки), т.к. раньше, как я и говорил - иногда сам использовал mmb как контейнер)
|
| |
| |
| as-master | Дата: Пятница, 22 Августа 2008, 13:16 | Сообщение # 15 |
|
Разводящий
Группа: Модераторы
Сообщений: 2337
Репутация: 101
Награды: 5
Статус: Offline
| Quote (ZyXp10it) случаем, не not-virus:Hoax.Win32.Freeline Да, именно он - скрин же положил с результатов проверки.
Но странно - получается, что я что - только один проект скомпилил на 497? Странно...
Да пребудет с вами ММВ!
|
| |
| |
| ZyXp10it | Дата: Пятница, 22 Августа 2008, 13:20 | Сообщение # 16 |
|
Поднаторевший
Группа: Проверенные
Сообщений: 60
Репутация: 0
Награды: 0
Статус: Offline
| Quote (ZyXp10it) случаем, не not-virus:Hoax.Win32.Freeline
опаздал, as-master уже прикрепил скрин
у меня такое вот палево на моем компе
1) палится один из старых проектов
2) палится оригинальный player 4.9.7Добавлено (22 Август 2008, 13:20)
---------------------------------------------
Quote (as-master) Но странно - получается, что я что - только один проект скомпилил на 497? Странно...
скорее всего ты компилил не с оригинальным лодером, а с видоизменным (наверное, от toizy)
палится сегодня именно оригинальный player (завтра уже не будет, наверное, должен придти ответ от саппорта каспра)
|
| |
| |
| as-master | Дата: Пятница, 22 Августа 2008, 13:24 | Сообщение # 17 |
|
Разводящий
Группа: Модераторы
Сообщений: 2337
Репутация: 101
Награды: 5
Статус: Offline
| Quote (ZyXp10it) 2) палится оригинальный player 4.9.7 А у меня ИМЕННО С ЭТИМ ФАЙЛОВ всё ок.
Причем, файл вроде бы оригинальный, не помню, чтобы мы его ломали.
Разве что вот... русифицированный. См. скрин: 
Да пребудет с вами ММВ!
|
| |
| |
| ZyXp10it | Дата: Пятница, 22 Августа 2008, 14:05 | Сообщение # 18 |
|
Поднаторевший
Группа: Проверенные
Сообщений: 60
Репутация: 0
Награды: 0
Статус: Offline
| Quote (as-master) оригинальный, не помню, чтобы мы его ломали.
его не нужно ломать, достаточно распаковать и запаковать с другой версией upx (там он лохматой 1.xx версии, а у вас с версией 2юч или 3.x (это уже другой upx, там OEP совсем по-другому), поэтому я и сказал, что палится оригинальный player - кто-то просто использовал mmb как контйнер и не стал заморачиваться с изменением player (взял оригинальный (читай, после установки))
Quote (as-master) русифицированный.
ну а это вообще меняет дело, это уже не оригинальный playerДобавлено (22 Август 2008, 13:34)
---------------------------------------------
и палится не сама прога 4.9.7, а именно плейер, т.к. он прикрепляется к проекту (player.exe в папке player) Добавлено (22 Август 2008, 13:36)
---------------------------------------------
Quote (as-master) А у меня ИМЕННО С ЭТИМ ФАЙЛОВ всё ок.
на скрине проверка самой проги, а не плейера...Добавлено (22 Август 2008, 14:05)
---------------------------------------------
Quote (as-master) После проверки файл стал иметь сегодняшнюю дату и время проверки. С чего бы вдруг?
Легко объясняется: у каспра в системе стоит дровина klif.sys (которая перехватывает некоторые системные обращения, в частности запуск файла, который каспр считает вредным, соответственно сработал перехватчик, а система подумала, что файл был изменен и поставила дату проверки как дату изменения :))))
|
| |
| |
| as-master | Дата: Пятница, 22 Августа 2008, 14:15 | Сообщение # 19 |
|
Разводящий
Группа: Модераторы
Сообщений: 2337
Репутация: 101
Награды: 5
Статус: Offline
| Quote (ZyXp10it) на скрине проверка самой проги, а не плейера... Ты практически прав.
Только у меня в папке плееров от версии 497 палится только екард.бин,
на остальные Кошмарыч не ругаеццо: 
Да пребудет с вами ММВ!
|
| |
| |
| ZyXp10it | Дата: Пятница, 22 Августа 2008, 15:28 | Сообщение # 20 |
|
Поднаторевший
Группа: Проверенные
Сообщений: 60
Репутация: 0
Награды: 0
Статус: Offline
| Quote (as-master) Ты практически прав.
Только у меня в папке плееров от версии 497 палится только екард.бин,
на остальные Кошмарыч не ругаеццо:
прицепи, если не трудно свой файл ecard.bin (с паролем, например 12345), я посмотрю и сравню со своим (т.к. мой ecard.bin (оригинальный) не палится, а видоизмененный тем более не палится и палиться в ближайшем будущем не будет, т.к. я свои лодеры сделал индивидкальными...Добавлено (22 Август 2008, 15:28)
---------------------------------------------
Проблема с ложным срабатыванием на player.exe в данном случае решена Вот цитата из ответного письма саппорта каспра
RE: Ложное срабатывание [KLAB-6162596]
Здравствуйте, Player.exe_ Это ложное срабатывание. Будет исправлено как можно скорее. Пожалуйста, при ответе включайте переписку целиком. --
С уважением, Наместников Юрий
Вирусный аналитик Лаборатории Касперского.
e-mail: newvirus@kaspersky.com
http://www.kaspersky.com/ ПОДЫТОЖИВАЯ ДИСКУССИЮ, хочу сказать: лодеры и дальше периодически будут палится, причину я указывал не раз (аналитики не роботы, и иногда по ошибке в базы заносят "сам MMb", а не то, что идет с ним (в виде вложения или dll). Выхода из ситуации два: 1) писать письма при каждом ложном срабатывании (слишком трудоемко), 2) сделать индвидуальные лодеры (будут палится иногда, смотря что аналитик занес в базу: 1) сигнатуру возле OEP (исправить проще, например, используя "бутерброды" (см. мои посты выше), 2) определенный набор экспорта и импорта вкупе с названиями секций и т.п. (сделать индивидуальный тяжелее, т.к. слишком "серьезные" изменения лодеров делают проекты нерабочими...
|
| |
| |
| as-master | Дата: Пятница, 22 Августа 2008, 16:41 | Сообщение # 21 |
|
Разводящий
Группа: Модераторы
Сообщений: 2337
Репутация: 101
Награды: 5
Статус: Offline
| Quote (ZyXp10it) прицепи, если не трудно свой файл ecard.bin (с паролем, например 12345) Прицепляю, с паролем 12345.
Да пребудет с вами ММВ!
|
| |
| |
| ZyXp10it | Дата: Пятница, 22 Августа 2008, 16:52 | Сообщение # 22 |
|
Поднаторевший
Группа: Проверенные
Сообщений: 60
Репутация: 0
Награды: 0
Статус: Offline
| Quote (as-master) Прикрепления: ecard.rar(367Kb)
это тоже ложное срабатывание: пишете, если нужно на саппорт каспра - исправят...
причина таже - во внедренных файлах шел троян по удалению файлов винды...
в базах кстати есть и сам троян (в "диком" виде и в составе MMb): две сигны на один зловред - накрутили себе счетчик :))))))))
|
| |
| |
| toizy | Дата: Пятница, 22 Августа 2008, 19:50 | Сообщение # 23 |
|
Студийная субстанция
Группа: Администраторы
Сообщений: 2309
Репутация: 29
Награды: 12
Статус: Offline
| короче, делаем таг... чтоб ты сам мог протестировать, даю инструктаж. Берёшь Морфин из аттача, затем пишешь батник содержания
Code morphine.exe -i -a -o:результат.exe исходный_файл.exe
и кладёшь его в каталог с Морфином. Туда же кладёшь и проблемны файл. Запускаешь батник. Получаешь результат.ехе - чуть больше весом, но не должен детектица антивирусом. Это уже если твой переделанный таким образом файл попадёт в наркологический центр доктора Касперского, тогда начнутся проблемы. А до тех пор будет всё ок. Пробуй, отпишись. Добавлено (22 Август 2008, 18:07)
---------------------------------------------
Перед процедурой ехе НЕ распаковывай! Пусть остаётся сжатым Добавлено (22 Август 2008, 19:50)
---------------------------------------------
ZyXp10it, можешь тоже потестировать.
Жизнь оказалась не такой уж и забавной, как поначалу...
|
| |
| |
| as-master | Дата: Суббота, 23 Августа 2008, 18:48 | Сообщение # 24 |
|
Разводящий
Группа: Модераторы
Сообщений: 2337
Репутация: 101
Награды: 5
Статус: Offline
| Quote (toizy) Пробуй, отпишись. Отписываюсь. Был взят файл скомпилированного проекта, на который ругался Касперский.
После обработки морфином (наркота же все-таки!) Касперский её нюхнул и...
ничего не сказал :) Размер файла вырос с 650 до 780 кб. А теперь разъясни, что это за зверь такой, морфин.
Да пребудет с вами ММВ!
|
| |
| |
| toizy | Дата: Суббота, 23 Августа 2008, 19:03 | Сообщение # 25 |
|
Студийная субстанция
Группа: Администраторы
Сообщений: 2309
Репутация: 29
Награды: 12
Статус: Offline
| Это полиморфный криптор написанный на дельфях, суть которого в использовании полиморфного кода. это значит, что файл программы меняется, причём значительно (меняются расположение основных функций, обращений к стеку, методы вызовов функций, различные "левые" вставки и прочее). В плане защиты ничего особенного, зато неоценимо свойство менять файл так, что мать родная не узнает Ну вот, проверка показала... в общем, юзайте Морфин
Жизнь оказалась не такой уж и забавной, как поначалу...
|
| |
| |
| as-master | Дата: Воскресенье, 24 Августа 2008, 12:28 | Сообщение # 26 |
|
Разводящий
Группа: Модераторы
Сообщений: 2337
Репутация: 101
Награды: 5
Статус: Offline
| Народ!!! Благодаря предложению toizy и моему скромному участию сделана мелкая приблуда
для перепаковки ваших скомпилированных проектов таким образом, чтобы
антивирусные программы никогда на них не ругались :)  Скачиваем эту мелкую программень и юзаем в своё удовольствие! Скачать кодер морфин! Правда, после этой процедуры размер файла несколько увеличится,
но ради идеи можно это пережить :)
Да пребудет с вами ММВ!
|
| |
| |
| as-master | Дата: Воскресенье, 24 Августа 2008, 13:41 | Сообщение # 27 |
|
Разводящий
Группа: Модераторы
Сообщений: 2337
Репутация: 101
Награды: 5
Статус: Offline
| ВНИМАНИЕ!!! Несколько улучшенный вариант криптора морфин
(добавлена пара опций):  Скачать с сайта ММВ: Скачать! (размер 403 Кб)
Да пребудет с вами ММВ!
|
| |
| |
| ZyXp10it | Дата: Понедельник, 25 Августа 2008, 17:50 | Сообщение # 28 |
|
Поднаторевший
Группа: Проверенные
Сообщений: 60
Репутация: 0
Награды: 0
Статус: Offline
| Quote (toizy) Добавлено (22 Август 2008, 19:50)
---------------------------------------------
ZyXp10it, можешь тоже потестировать.
Прикрепления: morphine.zip(23Kb)
Спасибо, но у меня давно есть, правда morphine всех версий от 1.0. до 3.5 давно есть в базах поддержки распаковки того же каспра (причем версия 1.0 до сих пор палится как HackerTool :)) , соответственно достаточно юзеру, юзающему MMb в пакостных целях тоже использовать его (а его в вирях очень любят использовать наряду с FSG и UPX), и плюс еще одна такая же ошибка аналитика и опять будет ложное срабатывание...
Поэтому я предпочитаю использовать "бутерброды" (по одиночке давно есть в базах, но вероятность того, что кто-то в том же составе использует их очень мала). Соответсвенно, я также как и Вы, застрахован от сигнатурного поиска, но не застрахован от того, что аналитик внесет в базы не только сигнатуру, но и специфические параметры (export, import, timedatestamp и т.п.)...
|
| |
| |
| as-master | Дата: Понедельник, 25 Августа 2008, 20:30 | Сообщение # 29 |
|
Разводящий
Группа: Модераторы
Сообщений: 2337
Репутация: 101
Награды: 5
Статус: Offline
| У меня не было возможности проверить ничем, кроме Касперского,
но вот он после перепаковки созданной нами приблудой ругаться на вирус перестал Это внушает надежду, что и другие антивири тоже не будут ругаться.
Да пребудет с вами ММВ!
|
| |
| |
| toizy | Дата: Вторник, 26 Августа 2008, 00:24 | Сообщение # 30 |
|
Студийная субстанция
Группа: Администраторы
Сообщений: 2309
Репутация: 29
Награды: 12
Статус: Offline
| Родилась очередная идея Сть её в том, что создаётся специальная программа-стаб, в ресурсы которой мы зашиваем НАШУ прогу, но в зашифованном виде. Таким образом, ни один антивирь даже не заикнётся о каких-либо вирусах вообще, ибо его совсем не интересует что мы прячем в ресурсы, тем более, шифруя. Далее, при запуске наша прога извлекает ресурс в память, расшифровывая на ходу, а затем использует супермегахакерскую технологию запуска файла из памяти! Данные из ресурса запускаются в адресном пространстве нашей проги. Правда, вот тут антивирь может ругнуццо, но точно я не знаю. Хотелось бы услышать мнение ещё одного специалиста - Алекса (куда ж он подевался...) Кстати, затея мегакульная. Ведь это проще, чем писать полиморфный криптор Кстати,шифрования и запихивания в ресурс будет требовать только пе-часть программы, оврлей в таком случае просто перецепим к нашей проге. Что скажете? Понятно, что ни хрена не понятно и кажется бредом:) Но простейшая реализация была готова уже сегодня вечером - представьте себе, работает
Жизнь оказалась не такой уж и забавной, как поначалу...
|
| |
| |
Все права защищены
