VMProtect + антивирусы...

Issues related to VMProtect
Admin
Site Admin
Posts: 1305
Joined: Mon Aug 21, 2006 8:19 pm
Location: Russia, E-burg
Contact:

Re: VMProtect + антивирусы...

Postby Admin » Wed Jun 16, 2010 1:01 pm

vzaguski
VMprotect Lite 2.05, дефолтные настройки, секции поменяны на .UPX.
Ругаются ClamAV, Sophos, Arcavir.

Пришлите ссылку на закачку вашей программы (на почту или в PM).

Larry
Posts: 8
Joined: Thu Feb 11, 2010 6:27 pm

Re: VMProtect + антивирусы...

Postby Larry » Sun Jun 20, 2010 9:30 pm

Admin wrote:В последних версиях наоборот пришлось добавить дополнительные признаки наличия VMProtect чтобы антивирусы шли по правильной ветке :))

И пришли. :mrgreen:

http://www.virustotal.com/ru/analisis/c8e59dfac888bf2f825a398d7232aca21658c8545d5ba89144ea7af56192383f-1277054173

NOD32:
a variant of Win32/Packed.VMProtect.AAA

Файл не мой: привел просто для примера. Неадекват товарищей из ESET прогрессирует. :wink:
Never put off till tomorrow what can be put off till day after tomorrow just as well

Admin
Site Admin
Posts: 1305
Joined: Mon Aug 21, 2006 8:19 pm
Location: Russia, E-burg
Contact:

Re: VMProtect + антивирусы...

Postby Admin » Mon Jun 21, 2010 1:49 am

Larry wrote:NOD32:
a variant of Win32/Packed.VMProtect.AAA

Файл не мой: привел просто для примера. Неадекват товарищей из ESET прогрессирует. :wink:

NOD32 в последних версиях поддержал наш блеклист и Win32/Packed.VMProtect.AAA/AAB/AAC/AAD это признак того, что файл защищен скарженной версией VMProtect. Так что все ОК.

Larry
Posts: 8
Joined: Thu Feb 11, 2010 6:27 pm

Re: VMProtect + антивирусы...

Postby Larry » Mon Jun 21, 2010 11:37 am

Тогда странно, почему остальные антивирусы не реагируют на данный файл? По-моему, Вы говорили, что сотрудничество с теми же Dr.Web и Kaspersky Lab у Вас налажено хорошо.
Never put off till tomorrow what can be put off till day after tomorrow just as well

Admin
Site Admin
Posts: 1305
Joined: Mon Aug 21, 2006 8:19 pm
Location: Russia, E-burg
Contact:

Re: VMProtect + антивирусы...

Postby Admin » Mon Jun 21, 2010 12:02 pm

Larry wrote:Тогда странно, почему остальные антивирусы не реагируют на данный файл? По-моему, Вы говорили, что сотрудничество с теми же Dr.Web и Kaspersky Lab у Вас налажено хорошо.

Поддержка нашего блеклиста к нашему сожалению есть не у всех антивирусов (не фолсят - и на том спасибо) :)) По поводу Kaspersky Lab - была инфрмация, что такая "фича" доступна только в определенных версиях (если мне не изменяет память - это был KIS) - соответственно и результаты у VT могут быть другими.

Endi
Posts: 3
Joined: Sun Jul 18, 2010 6:28 am

Re: VMProtect + антивирусы...

Postby Endi » Mon Jul 19, 2010 10:01 am

Доброго времени суток.
Иногда аж целых 9 антивирей плющит от протектора, а иногда гораздно меньще :)
В том числе и NOD32 начинает орать на "Win32/Virut.NBP", перекомпилишь программу с теми-же опциями ничего не меняя, и умолкают :)
Мне не влом перекомпилять, просто может есть какие пути решения?

Компилю следующими опциями:
Image

Admin
Site Admin
Posts: 1305
Joined: Mon Aug 21, 2006 8:19 pm
Location: Russia, E-burg
Contact:

Re: VMProtect + антивирусы...

Postby Admin » Mon Jul 19, 2010 10:12 am

Endi wrote:В том числе и NOD32 начинает орать на "Win32/Virut.NBP",

Пришлите ссылку на такой файл - мы постараемся решить проблему совместно с разработчиками NOD32.
Endi wrote:Мне не влом перекомпилять, просто может есть какие пути решения?

К сожалению на уровне протектора (защищенного файла) решить проблему фолсов практически невозможно.

Larry
Posts: 8
Joined: Thu Feb 11, 2010 6:27 pm

Re: VMProtect + антивирусы...

Postby Larry » Mon Jul 19, 2010 7:18 pm

Вот и Dr.Web начал ругаться. :shock:

Отчет запакованного файла с помощью сервиса Virustotal:
http://www.virustotal.com/ru/analisis/702dab069dbed2c5a6a519eb3d2d8af8c660c9076a03bb71d1c3fc70cb4c2077-1279566715

Скриншот с опциями протектора:

Image

Ссылку на скачивание запакованного файла отправил с помощью личного сообщения.
Never put off till tomorrow what can be put off till day after tomorrow just as well

rostyslav
Posts: 3
Joined: Tue Apr 13, 2010 8:25 am

Re: VMProtect + антивирусы...

Postby rostyslav » Fri Jul 23, 2010 8:13 am

Каспер детектриует троян:
http://www.virustotal.com/ru/analisis/9 ... 1279872127

Если нужно пришлю файлы.

Admin
Site Admin
Posts: 1305
Joined: Mon Aug 21, 2006 8:19 pm
Location: Russia, E-burg
Contact:

Re: VMProtect + антивирусы...

Postby Admin » Fri Jul 23, 2010 8:50 am

rostyslav wrote:Если нужно пришлю файлы.

Присылайте.

Alexey
Posts: 9
Joined: Tue Jun 01, 2010 8:05 am

VMProtect SE + Kaspersky

Postby Alexey » Fri Aug 27, 2010 7:23 am

На днях каспер стал находить в VMProtect.exe вирус HEUR: Trojan.Win32.Generic
Версия 2.05.6
То же самое с консольной версией.

Cyber
Posts: 35
Joined: Mon Feb 08, 2010 3:29 pm

Re: VMProtect + антивирусы...

Postby Cyber » Mon Aug 30, 2010 2:06 pm

Вообще если не быть таким пароноидальным и юзать только мутацию, то антивирусы вполне адекватно себя ведут и не ругаются.

to Larry:

В вообще нужно быть абсолютный crazy чтобы защищать виртуализацией дрова :))
Ну про скорость я молчу, щас проци такие что пофиг, наматываем бесполезные инструкции в kernel mode...
а прикинь где то что то пойдет не так? ну в win32 sybsystem вылетит апликуха, а вот в kernel mode - BSOD схлопочишь, как юзер обидится если это какой то сервак будет...

Admin
Site Admin
Posts: 1305
Joined: Mon Aug 21, 2006 8:19 pm
Location: Russia, E-burg
Contact:

Re: VMProtect + антивирусы...

Postby Admin » Mon Aug 30, 2010 2:30 pm

Alexey wrote:На днях каспер стал находить в VMProtect.exe вирус HEUR: Trojan.Win32.Generic
Версия 2.05.6
То же самое с консольной версией.

Из касперского написали что поправили. Проверяйте.
Cyber wrote:Вообще если не быть таким пароноидальным и юзать только мутацию, то антивирусы вполне адекватно себя ведут и не ругаются.

Мутация не обеспечивает такого уровня защиты как виртуализация.
Cyber wrote:а прикинь где то что то пойдет не так? ну в win32 sybsystem вылетит апликуха, а вот в kernel mode - BSOD схлопочишь, как юзер обидится если это какой то сервак будет...

Daemon Tools уже давно протектят дрова и ничего - "где то что то пойдет не так" у них практически не случается :))

Cyber
Posts: 35
Joined: Mon Feb 08, 2010 3:29 pm

Re: VMProtect + антивирусы...

Postby Cyber » Mon Aug 30, 2010 3:34 pm

Admin wrote:Мутация не обеспечивает такого уровня защиты как виртуализация.


Достаточный чтобы сломать мозги :))

Admin wrote:Daemon Tools уже давно протектят дрова и ничего - "где то что то пойдет не так" у них практически не случается )


У товарища проект с виртуализацией USB. Дорог каждый тик процессора. Если их еще растрачивать на виртуализацию, то какая же будет полезная скорость работы?

Admin
Site Admin
Posts: 1305
Joined: Mon Aug 21, 2006 8:19 pm
Location: Russia, E-burg
Contact:

Re: VMProtect + антивирусы...

Postby Admin » Mon Aug 30, 2010 3:41 pm

Cyber wrote:У товарища проект с виртуализацией USB.

У Larry проект по софтовой эмуляции электронных ключей. Насколько я понимаю до USB дело даже не доходит.


Return to “Technical questions”

Who is online

Users browsing this forum: Bing [Bot] and 1 guest