VMProtect + антивирусы...

Issues related to VMProtect
Dmitry Kazimirov
Posts: 7
Joined: Fri Aug 21, 2009 5:36 am

Re: VMProtect + антивирусы...

Postby Dmitry Kazimirov » Mon Apr 05, 2010 9:28 am

Кстати можно еще еще добавить.
Есть такая вещь как Astaro Security Gateway,один из двух его антивирусных движков(в 7.504 как минимум) - Avira(и исправленные в авире фолсы - у меня решили с ним проблемы)

Admin
Site Admin
Posts: 1305
Joined: Mon Aug 21, 2006 8:19 pm
Location: Russia, E-burg
Contact:

Re: VMProtect + антивирусы...

Postby Admin » Mon Apr 05, 2010 9:43 am

Dmitry Kazimirov wrote:Есть такая вещь как Astaro Security Gateway

Не знаете каким он именем живет на virustotal?

Dmitry Kazimirov
Posts: 7
Joined: Fri Aug 21, 2009 5:36 am

Re: VMProtect + антивирусы...

Postby Dmitry Kazimirov » Mon Apr 05, 2010 3:25 pm

отдельно его нет там.
в 7.5xx используются движки от Avira и ClamAV
в моем случае - был фолс авирой(после чего я и писал письмо с проблемой на ней)

rostyslav
Posts: 3
Joined: Tue Apr 13, 2010 8:25 am

Re: VMProtect + антивирусы...

Postby rostyslav » Tue Apr 13, 2010 1:07 pm

Наткнулся сегодня на проблемку с вирусами:

7 из 40
http://www.virustotal.com/ru/analisis/a ... 1271158259

6 из 40
http://www.virustotal.com/ru/analisis/f ... 1271156235

4 из 39
http://www.virustotal.com/ru/analisis/f ... 1271163732

+ в ходе работы касперский предупредил о поведении похожем на PDS.Query

Екзешник и настройки могу выслать приватом.

Есть ли какие-то общие рекомендации по уменьшению срабатываний антивирусов?

Admin
Site Admin
Posts: 1305
Joined: Mon Aug 21, 2006 8:19 pm
Location: Russia, E-burg
Contact:

Re: VMProtect + антивирусы...

Postby Admin » Tue Apr 13, 2010 1:23 pm

Екзешник и настройки могу выслать приватом.

Шлите весь комплект на info@vmpsoft.com

Larry
Posts: 8
Joined: Thu Feb 11, 2010 6:27 pm

Re: VMProtect + антивирусы...

Postby Larry » Thu Apr 15, 2010 6:11 pm

Вот и с Касперским появилась трабла (VMProtect 2.04.3):
http://www.virustotal.com/ru/analisis/2d06191150fd239e1fab3dfeb0db437015aac662ea829d9c4293ba4ec3e07a63-1271354716

Опции защиты:

  • Упаковывать выходной файл: Лучший (медленная распаковка);
  • Секции ВМ: .UPX
  • Компиляция: Контроль целостности ВМ объектов (снижение скорости), Шифрация регистров на выходе из ВМ (снижение скорости);
  • Виртуальные Машины: количество - 1.

Отправил файл в антивирусную лабораторию Касперского. Посмотрим, что ответят.
Never put off till tomorrow what can be put off till day after tomorrow just as well

Admin
Site Admin
Posts: 1305
Joined: Mon Aug 21, 2006 8:19 pm
Location: Russia, E-burg
Contact:

Re: VMProtect + антивирусы...

Postby Admin » Fri Apr 16, 2010 1:50 am

2 Larry:
Выслал вам более новую версию - защитите программу с её помощью и пришлите отчет с virustotal.

Larry
Posts: 8
Joined: Thu Feb 11, 2010 6:27 pm

Re: VMProtect + антивирусы...

Postby Larry » Sat Apr 17, 2010 12:17 pm

VMProtect 2.04.7:
http://www.virustotal.com/ru/analisis/92dd1f0dfb558a6e188e4b450cb1af7d7962d383bf320c208576682b3586a7f5-1271506183

Опции защиты:

  • Упаковывать выходной файл: Лучший (медленная распаковка);
  • Секции ВМ: .UPX
  • Компиляция: Контроль целостности ВМ объектов (снижение скорости), Шифрация регистров на выходе из ВМ (снижение скорости);
  • Виртуальные Машины: количество - 1.

Теперь 'Ikarus' шумит. Раньше такого не замечал. 'Trojan.Win32.Bredolab' - интересно, кого это они так называют. Ну с a-squared всё ясно. Они вирусные записи тырят у NOD32, Kaspersky, Avira и т.д.
Never put off till tomorrow what can be put off till day after tomorrow just as well

rostyslav
Posts: 3
Joined: Tue Apr 13, 2010 8:25 am

Re: VMProtect + антивирусы...

Postby rostyslav » Mon Apr 19, 2010 3:23 pm

У меня сегодня новый рекорд 10 из 40
http://www.virustotal.com/ru/analisis/f ... 1271689234

Admin
Site Admin
Posts: 1305
Joined: Mon Aug 21, 2006 8:19 pm
Location: Russia, E-burg
Contact:

Re: VMProtect + антивирусы...

Postby Admin » Mon Apr 19, 2010 5:22 pm

2 Larry, rostyslav:
В настоящее время мы ведем переговоры с F-Prot, F-Secure и Ikarus по поводу ложных срабатываний, но к сожалению пока нет никаких новостей по поводу решения возникших проблем с фолсами. Единственный вариант решения проблемы на сегодняшний день - это самостоятельно отправить свои файлы через сайт разработчиков этих антивирусов с пометкой "false alarm".

Larry
Posts: 8
Joined: Thu Feb 11, 2010 6:27 pm

Re: VMProtect + антивирусы...

Postby Larry » Tue Apr 20, 2010 11:40 pm

Ага, это понятно, спасибо. Интересно было, что за 'Bredolab' определяет антивирус Ikarus.
Never put off till tomorrow what can be put off till day after tomorrow just as well

Admin
Site Admin
Posts: 1305
Joined: Mon Aug 21, 2006 8:19 pm
Location: Russia, E-burg
Contact:

Re: VMProtect + антивирусы...

Postby Admin » Wed Apr 21, 2010 5:20 am

Интересно было, что за 'Bredolab' определяет антивирус Ikarus.

Похоже на очередной креатив от Ikarus :))

Cyber
Posts: 35
Joined: Mon Feb 08, 2010 3:29 pm

Re: VMProtect + антивирусы...

Postby Cyber » Tue May 04, 2010 8:03 pm

Вот чисто из любопытства:

Антивирусы ловят запротекченые "чистые" программные продукты по сигнатуре или плавающей сигнатуре ну и нескольким подходящим шаблонам (упаковка, экспорт и.т.д.)
У вас есть средство мутации кода.. почему бы не избавлятся от плавающих сигнатур и шаблонов с помощью мутации по дефолту? Скажим так рабочее ядро всегда рандомно с точки зрения антивируса, а запротекченые участки кода пользователь сам уже выберет каким способом их защищать.

Или сейчас оно в таком духе и реализовано?

Admin
Site Admin
Posts: 1305
Joined: Mon Aug 21, 2006 8:19 pm
Location: Russia, E-burg
Contact:

Re: VMProtect + антивирусы...

Postby Admin » Wed May 05, 2010 1:52 am

Рабочее ядро (исполнитель ВМ) и так мутирует при каждой компиляции - поэтому у него нет постоянных сигнатур. Насчет плавающих - не уверен (возможно антивирусы уже научились деобфусцировать натив на этапе проверки EntryPoint). Ну а в целом создается впечатление, что дальше EntryPoint многие "антивирусы" даже не лезут - файл "детектится" по внешним признакам (названию секций, расположение импорта, точки входа и т.п.). В последних версиях наоборот пришлось добавить дополнительные признаки наличия VMProtect чтобы антивирусы шли по правильной ветке :))

vzaguski
Posts: 1
Joined: Wed Jun 16, 2010 12:48 pm

Re: VMProtect + антивирусы...

Postby vzaguski » Wed Jun 16, 2010 12:54 pm

VMprotect Lite 2.05, дефолтные настройки, секции поменяны на .UPX.
Ругаются ClamAV, Sophos, Arcavir. Вот так вот - http://virusscan.jotti.org/en/scanresul ... a4e5c69a3e


Return to “Technical questions”

Who is online

Users browsing this forum: No registered users and 2 guests