Проблема скомпилированных проектов и антивирусных программ
|
|
as-master | Дата: Вторник, 26 Августа 2008, 00:46 | Сообщение # 31 |
Разводящий
Группа: Модераторы
Сообщений: 2337
Репутация: 101
Награды: 5
Статус: Offline
| Quote (toizy) Но простейшая реализация была готова уже сегодня вечером - представьте себе, работает В СТУДИЮ!!!
Да пребудет с вами ММВ!
|
|
| |
humanoid | Дата: Вторник, 26 Августа 2008, 08:34 | Сообщение # 32 |
Гуманоид
Группа: Проверенные
Сообщений: 406
Репутация: 3
Награды: 1
Статус: Offline
| Quote Родилась очередная идея smile Сть её в том, что создаётся специальная программа-стаб, в ресурсы которой мы зашиваем НАШУ прогу, но в зашифованном виде. Таким образом, ни один антивирь даже не заикнётся о каких-либо вирусах вообще, ибо его совсем не интересует что мы прячем в ресурсы, тем более, шифруя. Далее, при запуске наша прога извлекает ресурс в память, расшифровывая на ходу, а затем использует супермегахакерскую технологию запуска файла из памяти! Данные из ресурса запускаются в адресном пространстве нашей проги. Правда, вот тут антивирь может ругнуццо, но точно я не знаю. Хотелось бы услышать мнение ещё одного специалиста - Алекса (куда ж он подевался...) Мля буду, крутая мысль!!! Ты, ппц какой гений.... (очень свежо и реализуемо)
Hi, from Moon!
|
|
| |
ZyXp10it | Дата: Вторник, 26 Августа 2008, 10:49 | Сообщение # 33 |
Поднаторевший
Группа: Проверенные
Сообщений: 60
Репутация: 0
Награды: 0
Статус: Offline
| Quote (toizy) Родилась очередная идея Сть её в том, что создаётся специальная программа-стаб, в ресурсы которой мы зашиваем НАШУ прогу, но в зашифованном виде. Таким образом, ни один антивирь даже не заикнётся о каких-либо вирусах вообще, ибо его совсем не интересует что мы прячем в ресурсы, тем более, шифруя. Далее, при запуске наша прога извлекает ресурс в память, расшифровывая на ходу, а затем использует супермегахакерскую технологию запуска файла из памяти! Данные из ресурса запускаются в адресном пространстве нашей проги. Правда, вот тут антивирь может ругнуццо, но точно я не знаю. Проактивка касперского ругнется, т.к. это "инжект-дроппер" технология (стала попурялярной в последнее время, поэтому в проактивке каспра это идет отдельным пунктом). Спалит 100%.
|
|
| |
toizy | Дата: Вторник, 26 Августа 2008, 11:13 | Сообщение # 34 |
Студийная субстанция
Группа: Администраторы
Сообщений: 2309
Репутация: 29
Награды: 12
Статус: Offline
| Вот и я ж думаю, спалит... Добавлено (26 Август 2008, 10:56) --------------------------------------------- humanoid'у - хай фром эээс!!! Давно не видно было тебя!!! Кагдила?! Кхм... Тада 2 вариант - модификация какого-ниб криптора, типа морфина, либо прога для зачистки криптованного файла. Первый вариант мне не по зубам, второй более прост. Блин.. Подождём Алекса... Добавлено (26 Август 2008, 11:09) --------------------------------------------- Хотя.... Знаете ли... одно дело, когда процесс лезет в чужую память, а другое, когда он в свою же инжектица... Это надо проверить. У кого здесь самая большая подборка антивирусофф??? Щас ещё инфы почитаю... Может, имеет смысл слабать самый примитивный криптор. В общем, в загуглю Добавлено (26 Август 2008, 11:13) ---------------------------------------------
Quote (as-master) В СТУДИЮ!!! Падажжи ищо
Жизнь оказалась не такой уж и забавной, как поначалу...
|
|
| |
ZyXp10it | Дата: Вторник, 26 Августа 2008, 11:39 | Сообщение # 35 |
Поднаторевший
Группа: Проверенные
Сообщений: 60
Репутация: 0
Награды: 0
Статус: Offline
| Quote (toizy) У кого здесь самая большая подборка антивирусофф??? Вирустотал тебе в руки ;))) (virustotal.com) Quote (toizy) Тада 2 вариант - модификация какого-ниб криптора, типа морфина, либо прога для зачистки криптованного файла. Первый вариант мне не по зубам, второй более прост. Криптеров, даже с сорцами (только для статиков), навалом. Все паблик полиморфики у меня "палятся", статики - малоинтересны, если сможешь это дело изменить, давай подброшу парочку полиморфиков для тестов...
|
|
| |
toizy | Дата: Вторник, 26 Августа 2008, 11:46 | Сообщение # 36 |
Студийная субстанция
Группа: Администраторы
Сообщений: 2309
Репутация: 29
Награды: 12
Статус: Offline
| ZyXp10it, а есть в исходниках? Или давай что есть... Кстати, я проверял онлайн на касперском, оригинальные плееры и мои правленные - ничего. чисто. А вирустотал их палит? Т.е. меня интересует, если я накрою файл, скажем, морфином, вирустотал запалит? А крипторы в исходниках у мну есть даже полиморфные, но я туда вряд ли осилю полезть - слишком незнакомая тема Хотя, как знать... Немного по-экспериментирую. Добавлено (26 Август 2008, 11:46) --------------------------------------------- ZyXp10it, лучше напиши, что из крипторов у тебя есть. У меня крутая подборка из сети и всяких там дисков крэклаба и иже... будет что-то новенькое, я напишу, что
Жизнь оказалась не такой уж и забавной, как поначалу...
|
|
| |
ZyXp10it | Дата: Вторник, 26 Августа 2008, 12:04 | Сообщение # 37 |
Поднаторевший
Группа: Проверенные
Сообщений: 60
Репутация: 0
Награды: 0
Статус: Offline
| Quote (toizy) Кстати, я проверял онлайн на касперском, оригинальные плееры и мои правленные - ничего. чисто. А вирустотал их палит? Т.е. меня интересует, если я накрою файл, скажем, морфином, вирустотал запалит? Если исходный файл "палится", то вероятнее всего да, т.к. поддержка морфина всех версий есть в каспре и он просто "его снимет" (но тут все зависит от того, что аналитик вносил в базы по этому палеву: просто сигну или целый комплекс шняги (импортируемые функции, экспортируемые функции, таймстемп и т.п.) Если просто сигну, то если morphine модифицированный - то не спалит, т.к. не сможет распаковать (в комментах напишет, что неизвеcтный Morphine, я так с другими крипторами баловался ;))) Quote (toizy) ZyXp10it, лучше напиши, что из крипторов у тебя есть. У меня крутая подборка из сети и всяких там дисков крэклаба и иже... будет что-то новенькое, я напишу, что Сделаю каталог, только скорее всего вечером, т.к. сейчас я на работе и здесь у меня ничего нет и даже принести я ничего не могу, т.к. слишком большие ограничения у меня на работе - я тебе писал уже об этом... У меня крипторы со всяких "нехороших" сайтов (Hacky0u рулит, немецкого портала - t00lbase, китайцев, того же краклаба, только форума, а не дисков (там старье одно). Правда в этом множестве есть некоторые "не совсем" чистые (народ в них всяких пинчей зашивает и т.п.) а вообще на краклабе любитель криптеров - это pavka и Flint... я тебе вечером скину каталог "своей коллекции", может даже обменяемся чем-нибудь :))))
|
|
| |
as-master | Дата: Вторник, 26 Августа 2008, 12:27 | Сообщение # 38 |
Разводящий
Группа: Модераторы
Сообщений: 2337
Репутация: 101
Награды: 5
Статус: Offline
| Парни! Давайте напишем статью для сайта на данную тему. Не в плане того, как с этим бороться, а в плане того, ПОЧЕМУ антивирусные программы считают проекты ММВ вредоносными программами. Нужно популярно разъяснить причины и растолковать, что НА САМОМ ДЕЛЕ наши проекты совершенно безобидные программы. Эта статья для сайта АРХИВАЖНА, впоследствии я мог бы отсылать к ней всех подозрительных юзеров. Ребята, возьмётесь? Респект и уважуху гарантирую :)))))))
Да пребудет с вами ММВ!
|
|
| |
toizy | Дата: Вторник, 26 Августа 2008, 12:34 | Сообщение # 39 |
Студийная субстанция
Группа: Администраторы
Сообщений: 2309
Репутация: 29
Награды: 12
Статус: Offline
| FQuote (ZyXp10it) я тебе вечером скину каталог "своей коллекции", может даже обменяемся чем-нибудь :)))) Ага У меня диск креклаба за 2007 год, залью, если нужно... Блин... что ж делать... мне кажцо, просто чистить прогу, даже не закриптованную. Тем более, что мы сейчас проверили на вирустотале - на скомпиленный файл ругаецо тока 1 антивирь, и то как на "подозрительный". Если попробовать поправить кой-чего... А ты чем спасался? Что именно правил? Добавлено (26 Август 2008, 12:34) ---------------------------------------------
Quote (as-master) Ребята, возьмётесь? Да возьмёмся, наверное Раз уже раскопали данную тему
Жизнь оказалась не такой уж и забавной, как поначалу...
|
|
| |
ZyXp10it | Дата: Вторник, 26 Августа 2008, 12:43 | Сообщение # 40 |
Поднаторевший
Группа: Проверенные
Сообщений: 60
Репутация: 0
Награды: 0
Статус: Offline
| Quote (toizy) Ага У меня диск креклаба за 2007 год, залью, если нужно... спасибо, но у меня есть cracklab dvd 2008 :))) (лучше ты тоже сделай каталог каким-нибудь каталогизатором, потом обменяемся...) Quote (toizy) Блин... что ж делать... мне кажцо, просто чистить прогу, даже не закриптованную. Тем более, что мы сейчас проверили на вирустотале - на скомпиленный файл ругаецо тока 1 антивирь, и то как на "подозрительный". Если попробовать поправить кой-чего... А ты чем спасался? Что именно правил? Сейчас ругается один, если будет опять ошибка аналитика (а они будут 100%, причины я объяснял), то будут ругаться и другие, пусть даже временно, до исправления такой ошибки, а ведь у многих юзеров антивирус по умолчанию стоит на удаление и резеврное хранилище периодически очищается, поэтому цена такой ошибки - достаточно велика - все ваши проекты у большинства юзеров будут удалены "как вирусы". Я использую "бутерброды", это когда на одну прогу навешивается поочереди пакеры, крипторы и т.п. (главное, сохранить работоспоосбность файла, в этом помогает только практика, в итоге получаем цепочку, благодаря которой файл стабильно работает и не палится нигде (но опять же в случае "экзотических" записей в базах: не по сигне, а по другим параметрам экзешника возможно будет палево, но этот риск убрать практически нереально... (т.к. в любом случае используется в качестве базы используется один файл, разработчик которого чансы и "модифицировать его глубоко" у меня знаний нет (т.к. я финансист по образованию ;))))
|
|
| |
toizy | Дата: Вторник, 26 Августа 2008, 12:49 | Сообщение # 41 |
Студийная субстанция
Группа: Администраторы
Сообщений: 2309
Репутация: 29
Награды: 12
Статус: Offline
| Да я тоже не программист Мне кажецо, что овчинка выделки не стоит. Проще юзеру объяснить, что это ошибка антивиря, чем заниматься извратом каждый раз. имхо
Жизнь оказалась не такой уж и забавной, как поначалу...
|
|
| |
ZyXp10it | Дата: Вторник, 26 Августа 2008, 12:59 | Сообщение # 42 |
Поднаторевший
Группа: Проверенные
Сообщений: 60
Репутация: 0
Награды: 0
Статус: Offline
| Quote (toizy) Да я тоже не программист Мне кажецо, что овчинка выделки не стоит. Проще юзеру объяснить, что это ошибка антивиря, чем заниматься извратом каждый раз. имхо Скорее всего, ты прав... "Человеческий фактор" (в лице ошибок аналитиков, с одной стороны, и юзеров - с другой) не истребим...Добавлено (26 Август 2008, 12:59) --------------------------------------------- Ведь даже изменив "волшебным" образом базовый файл, с выходом новой версии придется все делать заново будь-то модификация исходного файла либо паковка-перепаковка...
|
|
| |
toizy | Дата: Вторник, 26 Августа 2008, 12:59 | Сообщение # 43 |
Студийная субстанция
Группа: Администраторы
Сообщений: 2309
Репутация: 29
Награды: 12
Статус: Offline
| Вот-вот... катаем лучше статейку
Жизнь оказалась не такой уж и забавной, как поначалу...
|
|
| |
as-master | Дата: Вторник, 26 Августа 2008, 13:00 | Сообщение # 44 |
Разводящий
Группа: Модераторы
Сообщений: 2337
Репутация: 101
Награды: 5
Статус: Offline
| Quote (toizy) Проще юзеру объяснить, что это ошибка антивиря, чем заниматься извратом ВОТ!!!!!!! Именно поэтому я и говорю - НУЖНА НОРМАЛЬНАЯ СТАТЬЯ! В ней всё по полочкам разложим и будем юзера отсылать к этой странице каждый раз, когда возникнут подозрения. Ну еще к вирустоталу, если захочет. Типа, раз антивирусы ругаю.тся не все, и раз каждый из них определяет "вирус" по-своему, а не все одинаково, значит и вируса нет. Ибо если бы он был конкретной "модели", то все антивири его и определяли одинаково. А то один видишь ли трояном считает, другой червем, третий рекламой...
Да пребудет с вами ММВ!
|
|
| |
ZyXp10it | Дата: Среда, 27 Августа 2008, 16:58 | Сообщение # 45 |
Поднаторевший
Группа: Проверенные
Сообщений: 60
Репутация: 0
Награды: 0
Статус: Offline
| Quote (toizy) ZyXp10it, лучше напиши, что из крипторов у тебя есть Не смог прицепить в личку весь список, делить по частям тоже не выход, поэтому цепляю здесь... Жду от тебя такого же каталога, чтобы можно было обменяться!
|
|
| |
as-master | Дата: Четверг, 04 Сентября 2008, 13:27 | Сообщение # 46 |
Разводящий
Группа: Модераторы
Сообщений: 2337
Репутация: 101
Награды: 5
Статус: Offline
| Ну так кто же напишет обещанную статью? И когда?
Да пребудет с вами ММВ!
|
|
| |
ZyXp10it | Дата: Пятница, 05 Сентября 2008, 10:59 | Сообщение # 47 |
Поднаторевший
Группа: Проверенные
Сообщений: 60
Репутация: 0
Награды: 0
Статус: Offline
| Quote (as-master) Ну так кто же напишет обещанную статью? И когда? toizy или Alex3A вестимо, у меня недостаточно соответствующих знаний :)))))
|
|
| |
as-master | Дата: Суббота, 06 Сентября 2008, 16:44 | Сообщение # 48 |
Разводящий
Группа: Модераторы
Сообщений: 2337
Репутация: 101
Награды: 5
Статус: Offline
| toizy!!! If (статью_напишешь=TRUE) Then Respect() Else Fucking() Exit() End
Да пребудет с вами ММВ!
|
|
| |
Игорь | Дата: Понедельник, 08 Сентября 2008, 08:52 | Сообщение # 49 |
Педагог
Группа: Проверенные
Сообщений: 331
Репутация: 0
Награды: 0
Статус: Offline
| Quote (as-master) Это внушает надежду, что и другие антивири тоже не будут ругаться Надежы не оправдались
Шум ничего не доказывает. Курица, снесши яйцо, часто клохчет так, словно снесла небольшую планету... Марк Твен
|
|
| |
as-master | Дата: Понедельник, 08 Сентября 2008, 11:02 | Сообщение # 50 |
Разводящий
Группа: Модераторы
Сообщений: 2337
Репутация: 101
Награды: 5
Статус: Offline
| Лучше проверять на virustotal.com в режиме онлайн - там проверка несколькими десятками антивирей. А вот некоторые нашим программам доверяют
Да пребудет с вами ММВ!
|
|
| |
Игорь | Дата: Понедельник, 08 Сентября 2008, 11:07 | Сообщение # 51 |
Педагог
Группа: Проверенные
Сообщений: 331
Репутация: 0
Награды: 0
Статус: Offline
| Не понял... У веня же антивирус только сегодня скачивал обновления - и вот, выдает... А на твоем скриншоте эта же программа говорит, что он чист...
Шум ничего не доказывает. Курица, снесши яйцо, часто клохчет так, словно снесла небольшую планету... Марк Твен
|
|
| |
as-master | Дата: Понедельник, 08 Сентября 2008, 11:30 | Сообщение # 52 |
Разводящий
Группа: Модераторы
Сообщений: 2337
Репутация: 101
Награды: 5
Статус: Offline
| Игорь, а ты почитай последний абзац на скрине: они говорят, что вирус может-таки появиться в следующих версиях Вот тока в следующих версиях не наших программ... а антивирусных Так что мою кулинарную книжку версии 5.02 они могут и забраковать И вообще, мы же в этом топике уже говорили о том, что время от времени антивирусные компании добавляют загрузчик проектов ММВ в свои базы, потом убирают, потом какой-нибудь г*ндон сделает на ней вирь - и понеслась по новому кругу... toizy, потому статья нужна СРОЧНО!!!
Да пребудет с вами ММВ!
|
|
| |
Игорь | Дата: Среда, 14 Марта 2012, 04:53 | Сообщение # 53 |
Педагог
Группа: Проверенные
Сообщений: 331
Репутация: 0
Награды: 0
Статус: Offline
| Ребят, подниму тему. Не работает перекодировщик... или перепаковщик, как его... В общем, на сам морфин ругается НОД, я его скачиваю по первой ссылке (кстати! "обновленный" - ссылка не работает) на него тоже ругается НОД, я его отключаю, открываю - все нормально, открываю в нем файл ехе, жму Кодировать, он пишет выполнено - но никуда новый файл не сохраняет!
А между тем на старые программы у людей стали ругаться антивирусы. Беда
Шум ничего не доказывает. Курица, снесши яйцо, часто клохчет так, словно снесла небольшую планету... Марк Твен
|
|
| |
Alex3A | Дата: Среда, 14 Марта 2012, 12:02 | Сообщение # 54 |
Друг клуба ММВ
Группа: Проверенные
Сообщений: 2646
Репутация: 39
Награды: 11
Статус: Offline
| Quote (Игорь) А между тем на старые программы у людей стали ругаться антивирусы. Беда У антивирусов такое бывает, со временем поправятся.
|
|
| |
YURIY | Дата: Среда, 14 Марта 2012, 14:42 | Сообщение # 55 |
Злостный админ
Группа: Администраторы
Сообщений: 3018
Репутация: 71
Награды: 28
Статус: Offline
| Меня уже достали тоже в разделе программ здесь - люди тычут постоянно меня носом в "вирусы"... Просто бесит уже! Перепаковывать бесконечно всё это у меня нет времени, хоть и понимаю, что куча людей просто удаляют скачанное и забывают о нашем сайте с плохими мыслями в голове
Вечная память Андрею Сергееву!
|
|
| |
Alex3A | Дата: Четверг, 15 Марта 2012, 05:04 | Сообщение # 56 |
Друг клуба ММВ
Группа: Проверенные
Сообщений: 2646
Репутация: 39
Награды: 11
Статус: Offline
| Quote (YURIY) люди тычут постоянно меня носом в "вирусы"... У меня как та после обновления антивирус начал матюгатся даж на дельфийские проги, с пустым окном, а потом поправилси.
|
|
| |
Игорь | Дата: Среда, 21 Марта 2012, 17:12 | Сообщение # 57 |
Педагог
Группа: Проверенные
Сообщений: 331
Репутация: 0
Награды: 0
Статус: Offline
| Уй, галку забыл поставить, чтобы ответы на почту приходили...
Так а чем перепаковывать то? Или как то ручками, программы нет?
Если ручками, то как бы инструкцию, где, как...
Шум ничего не доказывает. Курица, снесши яйцо, часто клохчет так, словно снесла небольшую планету... Марк Твен
|
|
| |
toizy | Дата: Четверг, 22 Марта 2012, 13:11 | Сообщение # 58 |
Студийная субстанция
Группа: Администраторы
Сообщений: 2309
Репутация: 29
Награды: 12
Статус: Offline
| Quote (Игорь) Если ручками, то как бы инструкцию, где, как...
А ничего сложного. Загрузи файл в PEID, убедись, что упакован UPX. Если да, то запускай GUI для UPX (UPXShell например), кидай в неё файл, жми распаковать, затем запаковать. Версия UPX.exe (не GUI, а UPX) должна быть свежей, что весьма желательно. Таким образом файл будет перепакован новой версией UPX. Но проблема более глубокая.
Дело в том, что гарантированного способа выйти из подозрений антивирусов не существует. Упаковка файлов в принципе своём решает 3 проблемы:
1. Уменьшение размера ехе (что не явяется гавной задачей - см. п.2) 2. Противодействие неким действиям кого-либо с какой-либо целью (поскольку код программы сжимается и ввиду этого изменяется). Возможные цели: а) Взлом, отладка (деструктивная цель) б) Изменение кода\ресурсов с благими намерениями, руссификация, например (конструктивная цель) 3. Скрытие присутствия протектора, защищающего программу с той же целью, что в п.2, но более сильно
Решение 2-3 проблемы является наиболее приоритетной задачей, а вовсе не уменьшение размера файла (много не сэкономишь, сегодня это скорее побочный эффект). Следует заметить, что на сегодняшний день п.1 уже потерял актуальность, п.2-3 же всё чаще используется хакерами и вирусмейкерами, так как стоит накрыть программу упаковщиком, и антивирус не сможет определить файл сигнатурным методом (только эвристикой, но на её выводы полагаться ещё опаснее). Со временем любой упаковщик попадает в базу сигнатур как опасное явление, но важно помнить, что в базе находится сигнатура упаковщика, а не вируса. Вирус же скрыт за камуфляжем и не заметен для антивируса. Итог - программа начинает определяться как вирус до выхода новой версии упаковщика. В базы антивирусных программ попадает даже лучший из лучших - UPX, поскольку большинство "взломщиков" не в состоянии написать простейший пакер под свои нужды и используют готовые решения. Упаковщиков в данный момент пруд пруди: UPX, Morphine, ASProtect, ACProtect, Themida, WMProtect (тот ещё взрыв мозга), YodaCrypter (собственно, протектор а не пакер) и множество, множество других, не считая коммерческих либо приватных пакеров-криптеров, попадающих в паблик. Это палка о двух концах. Выхода нет.
Предлагаю рассмотреть ещё один способ решения проблемы - отказ от упаковщика вообще. Но учти, что стоит кому-либо написать более-менее серьёзную вредоносную прогу и вывести её в свет, то и она появится в базе у какого-нибудь шального антивируса. Так что выхода действительно нет.
Тем же ребятам, что не в курсе\не знает\не умеет гуглить - скидывай ссылку на этот пост.
Добавлено (22 Март 2012, 13:11) --------------------------------------------- ЗЫ. Юра прав. Многие обламываются и уходят. Но и нас можно понять - выполнять мартышкин труд тоже не имеет смысла. Экстерминатус.
Жизнь оказалась не такой уж и забавной, как поначалу...
|
|
| |
Игорь | Дата: Пятница, 23 Марта 2012, 07:52 | Сообщение # 59 |
Педагог
Группа: Проверенные
Сообщений: 331
Репутация: 0
Награды: 0
Статус: Offline
| Хмммм.... Чет я то ли что то не так делаю, то ли что... Прирасжатии выдает какую то ошибку, после сжатия антивирус один черт ругается... Добавлено (23 Март 2012, 07:37) --------------------------------------------- Все, разобрался, но один черт антвирус выдает трояна Добавлено (23 Март 2012, 07:41) ---------------------------------------------
Quote (toizy) Предлагаю рассмотреть ещё один способ решения проблемы - отказ от упаковщика вообще. А вот это как?Добавлено (23 Март 2012, 07:52) --------------------------------------------- Мдам... В бщем, что то мне переупаковка не помогает. Или, может, что не так делаю...
Шум ничего не доказывает. Курица, снесши яйцо, часто клохчет так, словно снесла небольшую планету... Марк Твен
|
|
| |
YURIY | Дата: Понедельник, 26 Марта 2012, 17:32 | Сообщение # 60 |
Злостный админ
Группа: Администраторы
Сообщений: 3018
Репутация: 71
Награды: 28
Статус: Offline
| Друзья, есть решение!!! Смотрим тут:
http://www.mmbforums.com/viewtopic.php?f=17&t=349
Внеочередной респект товарищу dgilmour за ссылку!
Вечная память Андрею Сергееву!
|
|
| |