Quote (as-master)
Не пользуйся полиморфными упаковщиками
Упаковывая свой файл крутым полиморфным протектором, ты серьезно рискуешь нарваться на крупные неприятности. Возьмем, к примеру, одну из поздних версий популярного hex-редактора HIEW (со штампом времени 3EDAFCCFh), упакованную ASPack'ом и для надежности еще и Viogen Crypt'ом, что PEiD замечательно подтверждает.
А теперь пропустим этот HIEW (в котором ничего деструктивного нет) через строй антивирусов. Батюшки! Какой шухер поднимается! Несмотря на то что virusscan.jotti.org успешно распознает упаковщик, антивирусы от этого не успокаиваются и вопят, как свиньи, заживо смываемые в унитаз. AntiVir категорично классифицирует его (HIEW) как «Backdoor-Server/Bifrose.B backdoor». Avast, чуть более деликатный в своих суждениях, видит в нем типичный троянский компонент, неизвестный науке: «Win32:Trojan-gen. {Other}». Norman Virus Control без эвристики выдает конкретное имя - «W32/Bifrose.CRL», ну а VBA32 просто говорит, что это «Backdoor.Win32.Rbot.on». Вот так, без всяких церемоний, опустили HIEW'а! Раньше на него ругался и AVP на пару с Dr. WEB'ом, но теперь они чего-то притихли. Наверное, стыдно стало.
VIRUS TOTAL, использующий другую версию антивируса AntiVir, говорит, что это «BDS/Bifrose.B»...
полиморфные упаковщики "разные бывают": есть супер-паблик версии (которые используются всеми подряд и вызывают ложные срабатывания сами по себе), есть "относительно паблик" (которые редко используются из-за малой распространенности (вероятность ложного срабатывания на него меньше, а сам модуль (пусть того же раша) уже другой - "индивидуальный", есть "приватные" (те как раз стоит использовать, т.к. хотя и используются в 99% случаях для паковки и криптовки вирей, но как правило постоянно обновляются автором и иногда (как в случае, например, с Gloff'овскими пакерами и криптерами встают на серьезные "коммерческие" рельсы - у каждого пользователя своя "индивидуальная" версия и "практически никогда" не палится!!!Добавлено (11 Сентябрь 2008, 13:54)
---------------------------------------------
Ну это тоже уже оффтоп, и даже невольная реклама :)))
Добавлено (11 Сентябрь 2008, 13:57)
---------------------------------------------
А вообще можно юзать абсолютно "легальные" пакеры и протекторы (ту же армадиллу, аспротект, экзекриптор и т.п.) Их поодержка есть во всех базах всех антивирей, а когда случается ложное срабатывание, то не вы предъвляете претензии антивирусным вендорам, а компания-разработчик, у них это очень оперативно поставлено на поток, т.к. они делает полный саппорт пользователей...
Все права защищены
