Как должен "выглядеть нормальный код"?
Пользователи, просматривающие топик: none
|
Зашли как: Guest
|
Имя |
Сообщение |
<< Старые топики Новые топики >> |
|
|
Как должен "выглядеть нормальный код"? - 2009-10-05 22:15:07.813333
|
|
|
quester
Сообщений: 78
Оценки: 0
Присоединился: 2008-10-17 10:09:21.190000
|
Как должен выглядеть код, который не вызывает мата у антивирусов? К примеру, код шифруется. Дешифровщик здесь находится в конце кодовой секции. Во-первых, Olly говорит, что код шифрован. Во-вторых, матеряться антивирусы: http://www.virustotal.com/ru/analisis/85953b7cecae98dc8c266d4d8d2e4fa244fdde331761cb9df849a57930b0e70e-1254765952 Что из себя представляют протекторы (как часть защиты программы от взлома), которые не вызывают такой реакции у антивирусов?
|
|
|
RE: Как должен "выглядеть нормальный код"? - 2009-10-05 22:21:14.296666
|
|
|
Mатцал Коушек
Сообщений: 10407
Оценки: 91
Присоединился: 2008-07-09 10:27:49.520000
|
Не заморачивайся, очень часто, даже совершенно безобидный код вызывает панику у антивирусов. Это же чистая коммерция, эти антивирусы, они призваны создавать иллюзию своей нужности. Ты накоди "Хелло, Мир!", и какой-нибудь антивирус поднимет кипешь.
|
|
|
RE: Как должен "выглядеть нормальный код"? - 2009-10-05 22:25:57.363333
|
|
|
quester
Сообщений: 78
Оценки: 0
Присоединился: 2008-10-17 10:09:21.190000
|
Так мне-то не легче. Dr-web, к примеру, для моей программки простенький шифровщик трояном обозвал.:'( Да ещё и упакованным. Это ж что делать, если коситься на программу будут? А все эти ASProtect-ы, Armadill-ы и прочее, либо взломано, либо недоступно, либо стоит много. Да и своё сделать интересно. Почему-то на них не ругается? Изучать их все достаточно долго (там не 10 отличий)… Что они делают по-другому?
|
|
|
RE: Как должен "выглядеть нормальный код"? - 2009-10-05 22:31:57.833333
|
|
|
Mатцал Коушек
Сообщений: 10407
Оценки: 91
Присоединился: 2008-07-09 10:27:49.520000
|
quote:
ORIGINAL: quester Dr-web, к примеру, для моей программки простенький шифровщик трояном обозвал. Да ещё и упакованным. Ну так это полностью подтверждает мой пост, слово в слово. Нет никакой гарантии ни на что, могут антивирусы ругаться от фонаря. Есть сложные методы обхода этой проблемы, но это устанешь сюда печатать.
|
|
|
RE: Как должен "выглядеть нормальный код"? - 2009-10-05 22:36:57.760000
|
|
|
Sunzer
Сообщений: 253
Оценки: 31190
Присоединился: 2007-06-15 19:23:32.436666
|
Криптор пишите? Много там факторов влияющих на отношение антивирусов к твоему файлу.
|
|
|
RE: Как должен "выглядеть нормальный код"? - 2009-10-05 22:45:08.970000
|
|
|
quester
Сообщений: 78
Оценки: 0
Присоединился: 2008-10-17 10:09:21.190000
|
quote:
Ну так это полностью подтверждает мой пост, слово в слово. Нет никакой гарантии ни на что, могут антивирусы ругаться от фонаря. Ну так, это не совсем от фонаря. Конкретно здесь, мне примерно понятно. На WASM я прочитал, что в данном случае, слишком высокая энтропия секции кода. В самом конце первой страницы этой темы: http://www.wasm.ru/forum/viewtopic.php?id=30585 Olly, как и Dr-web, по ходу, по статистическим характеристикам определяют шифрован код или нет. :-( quote:
Есть сложные методы обхода этой проблемы, но это устанешь сюда печатать. Хотя бы где почитать, конкретно по обходу данной проблемы? quote:
Криптор пишите? Много там факторов влияющих на отношение антивирусов к твоему файлу. Криптор, как дополнение к защите. На массовость не рассчитываю (блокнот изи XP, к примеру, не упаковывает, поскольку места в конце кодовой секции не хватает для расшифровщика). Но для программы, написанной в новом msvc, подходит. Очень не хочется, чтобы сразу было видно шифрованность программы, нестандартный набор секций и т.д. quote:
Много там факторов влияющих на отношение антивирусов к твоему файлу. Например?
|
|
|
RE: Как должен "выглядеть нормальный код"? - 2009-10-05 22:55:17.926666
|
|
|
Mатцал Коушек
Сообщений: 10407
Оценки: 91
Присоединился: 2008-07-09 10:27:49.520000
|
quote:
ORIGINAL: quester Хотя бы где почитать, конкретно по обходу данной проблемы? Надо тут самому дотумкать, я этого нигде не читал.
|
|
|
RE: Как должен "выглядеть нормальный код"? - 2009-10-05 22:56:58.356666
|
|
|
quester
Сообщений: 78
Оценки: 0
Присоединился: 2008-10-17 10:09:21.190000
|
quote:
Правильный PE хидер, таблица импорта, сам код, нахер столько всего перечислять? Покажи файл для начала. PE хидер правильный. Я не меняю ничего, помимо точки входа и размеров. Импорт он тоже не трогает. В блокноте импорт в секции кода, поэтому, блокнот корректно он не шифрует. У новых msvc импорт в отдельной секции, поэтому проблем нет. Дальше, я не стал разбираться. Универсальность мне не требуется. А файл для чего и что за файл конкретно вам нужен? Я стесняюсь, поскольку, совсем недавно стал разбираться. Вдруг бред какой-нибудь там я написал?
|
|
|
RE: Как должен "выглядеть нормальный код"? - 2009-10-05 22:59:36.176666
|
|
|
Sunzer
Сообщений: 253
Оценки: 31190
Присоединился: 2007-06-15 19:23:32.436666
|
Скорее всего палит сам код, стоящие на точке входа.
|
|
|
RE: Как должен "выглядеть нормальный код"? - 2009-10-05 23:01:47.673333
|
|
|
quester
Сообщений: 78
Оценки: 0
Присоединился: 2008-10-17 10:09:21.190000
|
2Sunzer: Очень, кстати, похож на мой. Тоже передача через регистры. Ругаются они, похоже, на то, что выше дешифровщика, идёт помойка из шифрованного кода. 2Mатцал Коушек: quote:
Надо тут самому дотумкать, я этого нигде не читал. Печально. :-(
|
|
|
RE: Как должен "выглядеть нормальный код"? - 2009-10-05 23:04:24.946666
|
|
|
Sunzer
Сообщений: 253
Оценки: 31190
Присоединился: 2007-06-15 19:23:32.436666
|
Хочется посмотреть файл, который палится, иначе путных советов не дам.
|
|
|
RE: Как должен "выглядеть нормальный код"? - 2009-10-05 23:41:35.406666
|
|
|
quester
Сообщений: 78
Оценки: 0
Присоединился: 2008-10-17 10:09:21.190000
|
В ЛС выслал, вроде. Непонятен мне этот форум. Phpbb привычнее.
|
|
|
RE: Как должен "выглядеть нормальный код"? - 2009-10-06 01:02:02.766666
|
|
|
quester
Сообщений: 78
Оценки: 0
Присоединился: 2008-10-17 10:09:21.190000
|
О, с того же васма (дальше прочитал): quote:
неверное утверждение, не палят ав по энтропии только! про авиру могу сказать 100% там несколько признаков :) - baseofcode/data должны указывать на секции кода и данных соотв. - c ep она чекает ~ 30 - 40 байт - корректный импорт (один из основных фактов) - у авиры разная логика для разных файлов: - зависит от размера файла, количества секций, размера секций … инфа получена из движка авиры. тут конечно не всё. Забрезжила смутная надежда, что переписывать всё по-другому, не придётся…
|
|
|
RE: Как должен "выглядеть нормальный код"? - 2009-10-07 12:41:04.840000
|
|
|
quester
Сообщений: 78
Оценки: 0
Присоединился: 2008-10-17 10:09:21.190000
|
Печально… :-(
|
|
|
RE: Как должен "выглядеть нормальный код"? - 2009-10-07 13:09:58.306666
|
|
|
Анжела_Ерохина
Сообщений: 234
Оценки: 0
Присоединился: 2009-10-05 14:58:11.790000
|
quote:
r-web, к примеру, для моей программки простенький шифровщик трояном обозвал. Касперский 7 ворчал на использование функции для решения бинома Ньютона, мол троянец.
|
|
|
RE: Как должен "выглядеть нормальный код"? - 2009-10-19 23:03:46.213333
|
|
|
tеstеr
Сообщений: 377
Оценки: -46
Присоединился: 2008-02-08 17:56:40.563333
|
Я на работе собрал несколько прог в fasm, которые на OpenGL вращающуюся строку вырисовывали. Все проги отличались только строками. Там никакого криминала не было, просто хотел коллег порадовать, прогой в 1 колобайт, которая так красиво рисует их ФИО. Каспер решил, что это трояны, и занёс эту информацию в свой лог. Администратор смотрит в лог - видит, самосборная прога, и трояном названа. Вызвал меня и спрашивает - почему я на рабочем месте собираю трояны? Я отвечаю так мол и так, это не трояны вовсе, что я отл люям сделать персональные скринсейверы, более красивые, чем стандартный виндовый. Он минуту помолчал, в карантин заглянул и снова спрашивает - почему я на рабочем месте собираю трояны? В результате обошлось, но ведь всё могло закончиться плохо )).
|
|
|
|
|