Добро пожаловать! Это — архивная версия форумов на «Хакер.Ru». Она работает в режиме read-only.
 

Как должен "выглядеть нормальный код"?

Пользователи, просматривающие топик: none

Зашли как: Guest
Все форумы >> [Прочее] >> Как должен "выглядеть нормальный код"?
Имя
Сообщение << Старые топики   Новые топики >>
Как должен "выглядеть нормальный код"? - 2009-10-05 22:15:07.813333   
quester

Сообщений: 78
Оценки: 0
Присоединился: 2008-10-17 10:09:21.190000
Как должен выглядеть код, который не вызывает мата у антивирусов?
К примеру, код шифруется.
Дешифровщик здесь находится в конце кодовой секции. Во-первых, Olly говорит, что код шифрован.
Во-вторых, матеряться антивирусы:

http://www.virustotal.com/ru/analisis/85953b7cecae98dc8c266d4d8d2e4fa244fdde331761cb9df849a57930b0e70e-1254765952

Что из себя представляют протекторы (как часть защиты программы от взлома), которые не
вызывают такой реакции у антивирусов?
Post #: 1
RE: Как должен "выглядеть нормальный код"? - 2009-10-05 22:21:14.296666   
Mатцал Коушек

Сообщений: 10407
Оценки: 91
Присоединился: 2008-07-09 10:27:49.520000
Не заморачивайся, очень часто, даже совершенно безобидный код вызывает панику у антивирусов.
Это же чистая коммерция, эти антивирусы, они призваны создавать иллюзию своей нужности.

Ты накоди "Хелло, Мир!", и какой-нибудь антивирус поднимет кипешь.
Post #: 2
RE: Как должен "выглядеть нормальный код"? - 2009-10-05 22:25:57.363333   
quester

Сообщений: 78
Оценки: 0
Присоединился: 2008-10-17 10:09:21.190000
Так мне-то не легче. Dr-web, к примеру, для моей программки простенький шифровщик трояном
обозвал.:'( Да ещё и упакованным. Это ж что делать, если коситься на программу будут?
А все эти ASProtect-ы, Armadill-ы и прочее, либо взломано, либо недоступно, либо стоит много.
Да и своё сделать интересно.
Почему-то на них не ругается? Изучать их все достаточно долго (там не 10 отличий)…
Что они делают по-другому?
Post #: 3
RE: Как должен "выглядеть нормальный код"? - 2009-10-05 22:31:57.833333   
Mатцал Коушек

Сообщений: 10407
Оценки: 91
Присоединился: 2008-07-09 10:27:49.520000

quote:

ORIGINAL: quester
Dr-web, к примеру, для моей программки простенький шифровщик трояном
обозвал. Да ещё и упакованным.

Ну так это полностью подтверждает мой пост, слово в слово.
Нет никакой гарантии ни на что, могут антивирусы ругаться от фонаря.

Есть сложные методы обхода этой проблемы, но это устанешь сюда печатать.

Post #: 4
RE: Как должен "выглядеть нормальный код"? - 2009-10-05 22:36:57.760000   
Sunzer

Сообщений: 253
Оценки: 31190
Присоединился: 2007-06-15 19:23:32.436666
Криптор пишите? Много там факторов влияющих на отношение антивирусов к твоему файлу.
Post #: 5
RE: Как должен "выглядеть нормальный код"? - 2009-10-05 22:45:08.970000   
quester

Сообщений: 78
Оценки: 0
Присоединился: 2008-10-17 10:09:21.190000
quote:

Ну так это полностью подтверждает мой пост, слово в слово.
Нет никакой гарантии ни на что, могут антивирусы ругаться от фонаря.

Ну так, это не совсем от фонаря. Конкретно здесь, мне примерно понятно. На WASM я прочитал,
что в данном случае, слишком высокая энтропия секции кода.
В самом конце первой страницы этой темы:
http://www.wasm.ru/forum/viewtopic.php?id=30585

Olly, как и Dr-web, по ходу, по статистическим характеристикам определяют шифрован код или
нет. :-(

quote:

Есть сложные методы обхода этой проблемы, но это устанешь сюда печатать.

Хотя бы где почитать, конкретно по обходу данной проблемы?

quote:

Криптор пишите? Много там факторов влияющих на отношение антивирусов к твоему файлу.

Криптор, как дополнение к защите.
На массовость не рассчитываю (блокнот изи XP, к примеру, не упаковывает, поскольку места в конце кодовой секции не хватает для расшифровщика). Но для программы, написанной в новом msvc, подходит.
Очень не хочется, чтобы сразу было видно шифрованность программы, нестандартный набор секций и т.д.

quote:

Много там факторов влияющих на отношение антивирусов к твоему файлу.

Например?
Post #: 6
RE: Как должен "выглядеть нормальный код"? - 2009-10-05 22:50:48.773333   
Sunzer

Сообщений: 253
Оценки: 31190
Присоединился: 2007-06-15 19:23:32.436666
Правильный PE хидер, таблица импорта, сам код, нахер столько всего перечислять? Покажи файл для начала.

Генерируй код расшифровщика примерно такой :)
Post #: 7
RE: Как должен "выглядеть нормальный код"? - 2009-10-05 22:55:17.926666   
Mатцал Коушек

Сообщений: 10407
Оценки: 91
Присоединился: 2008-07-09 10:27:49.520000
quote:

ORIGINAL: quester
Хотя бы где почитать, конкретно по обходу данной проблемы?

Надо тут самому дотумкать, я этого нигде не читал.
Post #: 8
RE: Как должен "выглядеть нормальный код"? - 2009-10-05 22:56:58.356666   
quester

Сообщений: 78
Оценки: 0
Присоединился: 2008-10-17 10:09:21.190000
quote:

Правильный PE хидер, таблица импорта, сам код, нахер столько всего перечислять? Покажи файл для начала.

PE хидер правильный. Я не меняю ничего, помимо точки входа и размеров.
Импорт он тоже не трогает. В блокноте импорт в секции кода, поэтому, блокнот корректно он не
шифрует. У новых msvc импорт в отдельной секции, поэтому проблем нет. Дальше, я не стал
разбираться. Универсальность мне не требуется.
А файл для чего и что за файл конкретно вам нужен? Я стесняюсь, поскольку, совсем недавно стал разбираться. Вдруг бред какой-нибудь там я написал?
Post #: 9
RE: Как должен "выглядеть нормальный код"? - 2009-10-05 22:59:36.176666   
Sunzer

Сообщений: 253
Оценки: 31190
Присоединился: 2007-06-15 19:23:32.436666
Скорее всего палит сам код, стоящие на точке входа.
Post #: 10
RE: Как должен "выглядеть нормальный код"? - 2009-10-05 23:01:47.673333   
quester

Сообщений: 78
Оценки: 0
Присоединился: 2008-10-17 10:09:21.190000
2Sunzer:
Очень, кстати, похож на мой. Тоже передача через регистры. Ругаются они, похоже, на то, что выше дешифровщика, идёт помойка из шифрованного кода.

2Mатцал Коушек:
quote:

Надо тут самому дотумкать, я этого нигде не читал.

Печально. :-(
Post #: 11
RE: Как должен "выглядеть нормальный код"? - 2009-10-05 23:04:24.946666   
Sunzer

Сообщений: 253
Оценки: 31190
Присоединился: 2007-06-15 19:23:32.436666
Хочется посмотреть файл, который палится, иначе путных советов не дам.
Post #: 12
RE: Как должен "выглядеть нормальный код"? - 2009-10-05 23:41:35.406666   
quester

Сообщений: 78
Оценки: 0
Присоединился: 2008-10-17 10:09:21.190000
В ЛС выслал, вроде. Непонятен мне этот форум. Phpbb привычнее.
Post #: 13
RE: Как должен "выглядеть нормальный код"? - 2009-10-06 01:02:02.766666   
quester

Сообщений: 78
Оценки: 0
Присоединился: 2008-10-17 10:09:21.190000
О, с того же васма (дальше прочитал):
quote:

неверное утверждение, не палят ав по энтропии только! про авиру могу сказать 100%
там несколько признаков :)

- baseofcode/data должны указывать на секции кода и данных соотв.
- c ep она чекает ~ 30 - 40 байт
- корректный импорт (один из основных фактов)
- у авиры разная логика для разных файлов:
&nbsp;&nbsp;&nbsp; - зависит от размера файла, количества секций, размера секций …

инфа получена из движка авиры. тут конечно не всё.


Забрезжила смутная надежда, что переписывать всё по-другому, не придётся…
Post #: 14
RE: Как должен "выглядеть нормальный код"? - 2009-10-07 12:41:04.840000   
quester

Сообщений: 78
Оценки: 0
Присоединился: 2008-10-17 10:09:21.190000
Печально… :-(
Post #: 15
RE: Как должен "выглядеть нормальный код"? - 2009-10-07 13:09:58.306666   
Анжела_Ерохина

Сообщений: 234
Оценки: 0
Присоединился: 2009-10-05 14:58:11.790000
quote:

r-web, к примеру, для моей программки простенький шифровщик трояном
обозвал.
Касперский 7 ворчал на использование функции для решения бинома Ньютона, мол троянец.
Post #: 16
RE: Как должен "выглядеть нормальный код"? - 2009-10-19 23:03:46.213333   
tеstеr

Сообщений: 377
Оценки: -46
Присоединился: 2008-02-08 17:56:40.563333
Я на работе собрал несколько прог в fasm, которые на OpenGL вращающуюся строку вырисовывали.
Все проги отличались только строками.
Там никакого криминала не было, просто хотел коллег порадовать, прогой в 1 колобайт, которая так красиво рисует их ФИО.
Каспер решил, что это трояны, и занёс эту информацию в свой лог.
Администратор смотрит в лог - видит, самосборная прога, и трояном названа.
Вызвал меня и спрашивает - почему я на рабочем месте собираю трояны?
Я отвечаю так мол и так, это не трояны вовсе, что я отл люям сделать персональные скринсейверы, более красивые, чем стандартный виндовый.
Он минуту помолчал, в карантин заглянул и снова спрашивает - почему я на рабочем месте собираю трояны?

В результате обошлось, но ведь всё могло закончиться плохо )).
Post #: 17
Страниц:  [1]
Все форумы >> [Прочее] >> Как должен "выглядеть нормальный код"?







Связаться:
Вопросы по сайту / xakep@glc.ru

Предупреждение: использование полученных знаний в противозаконных целях преследуется по закону.