VMProtect + антивирусы...

Issues related to VMProtect
Admin
Site Admin
Posts: 2566
Joined: Mon Aug 21, 2006 8:19 pm
Location: Russia, E-burg
Contact:

Re: VMProtect + антивирусы...

Post by Admin »

vzaguski
VMprotect Lite 2.05, дефолтные настройки, секции поменяны на .UPX.
Ругаются ClamAV, Sophos, Arcavir.
Пришлите ссылку на закачку вашей программы (на почту или в PM).
Larry
Posts: 8
Joined: Thu Feb 11, 2010 6:27 pm

Re: VMProtect + антивирусы...

Post by Larry »

Admin wrote:В последних версиях наоборот пришлось добавить дополнительные признаки наличия VMProtect чтобы антивирусы шли по правильной ветке :))
И пришли. :mrgreen:

http://www.virustotal.com/ru/analisis/c ... 1277054173

NOD32:
a variant of Win32/Packed.VMProtect.AAA

Файл не мой: привел просто для примера. Неадекват товарищей из ESET прогрессирует. :wink:
Never put off till tomorrow what can be put off till day after tomorrow just as well
Admin
Site Admin
Posts: 2566
Joined: Mon Aug 21, 2006 8:19 pm
Location: Russia, E-burg
Contact:

Re: VMProtect + антивирусы...

Post by Admin »

Larry wrote: NOD32:
a variant of Win32/Packed.VMProtect.AAA

Файл не мой: привел просто для примера. Неадекват товарищей из ESET прогрессирует. :wink:
NOD32 в последних версиях поддержал наш блеклист и Win32/Packed.VMProtect.AAA/AAB/AAC/AAD это признак того, что файл защищен скарженной версией VMProtect. Так что все ОК.
Larry
Posts: 8
Joined: Thu Feb 11, 2010 6:27 pm

Re: VMProtect + антивирусы...

Post by Larry »

Тогда странно, почему остальные антивирусы не реагируют на данный файл? По-моему, Вы говорили, что сотрудничество с теми же Dr.Web и Kaspersky Lab у Вас налажено хорошо.
Never put off till tomorrow what can be put off till day after tomorrow just as well
Admin
Site Admin
Posts: 2566
Joined: Mon Aug 21, 2006 8:19 pm
Location: Russia, E-burg
Contact:

Re: VMProtect + антивирусы...

Post by Admin »

Larry wrote:Тогда странно, почему остальные антивирусы не реагируют на данный файл? По-моему, Вы говорили, что сотрудничество с теми же Dr.Web и Kaspersky Lab у Вас налажено хорошо.
Поддержка нашего блеклиста к нашему сожалению есть не у всех антивирусов (не фолсят - и на том спасибо) :)) По поводу Kaspersky Lab - была инфрмация, что такая "фича" доступна только в определенных версиях (если мне не изменяет память - это был KIS) - соответственно и результаты у VT могут быть другими.
Endi
Posts: 3
Joined: Sun Jul 18, 2010 6:28 am

Re: VMProtect + антивирусы...

Post by Endi »

Доброго времени суток.
Иногда аж целых 9 антивирей плющит от протектора, а иногда гораздно меньще :)
В том числе и NOD32 начинает орать на "Win32/Virut.NBP", перекомпилишь программу с теми-же опциями ничего не меняя, и умолкают :)
Мне не влом перекомпилять, просто может есть какие пути решения?

Компилю следующими опциями:
Image
Admin
Site Admin
Posts: 2566
Joined: Mon Aug 21, 2006 8:19 pm
Location: Russia, E-burg
Contact:

Re: VMProtect + антивирусы...

Post by Admin »

Endi wrote:В том числе и NOD32 начинает орать на "Win32/Virut.NBP",
Пришлите ссылку на такой файл - мы постараемся решить проблему совместно с разработчиками NOD32.
Endi wrote:Мне не влом перекомпилять, просто может есть какие пути решения?
К сожалению на уровне протектора (защищенного файла) решить проблему фолсов практически невозможно.
Larry
Posts: 8
Joined: Thu Feb 11, 2010 6:27 pm

Re: VMProtect + антивирусы...

Post by Larry »

Вот и Dr.Web начал ругаться. :shock:

Отчет запакованного файла с помощью сервиса Virustotal:
http://www.virustotal.com/ru/analisis/7 ... 1279566715

Скриншот с опциями протектора:

Image

Ссылку на скачивание запакованного файла отправил с помощью личного сообщения.
Never put off till tomorrow what can be put off till day after tomorrow just as well
rostyslav
Posts: 3
Joined: Tue Apr 13, 2010 8:25 am

Re: VMProtect + антивирусы...

Post by rostyslav »

Каспер детектриует троян:
http://www.virustotal.com/ru/analisis/9 ... 1279872127

Если нужно пришлю файлы.
Admin
Site Admin
Posts: 2566
Joined: Mon Aug 21, 2006 8:19 pm
Location: Russia, E-burg
Contact:

Re: VMProtect + антивирусы...

Post by Admin »

rostyslav wrote:Если нужно пришлю файлы.
Присылайте.
Alexey
Posts: 9
Joined: Tue Jun 01, 2010 8:05 am

VMProtect SE + Kaspersky

Post by Alexey »

На днях каспер стал находить в VMProtect.exe вирус HEUR: Trojan.Win32.Generic
Версия 2.05.6
То же самое с консольной версией.
Cyber
Posts: 48
Joined: Mon Feb 08, 2010 3:29 pm

Re: VMProtect + антивирусы...

Post by Cyber »

Вообще если не быть таким пароноидальным и юзать только мутацию, то антивирусы вполне адекватно себя ведут и не ругаются.

to Larry:

В вообще нужно быть абсолютный crazy чтобы защищать виртуализацией дрова :))
Ну про скорость я молчу, щас проци такие что пофиг, наматываем бесполезные инструкции в kernel mode...
а прикинь где то что то пойдет не так? ну в win32 sybsystem вылетит апликуха, а вот в kernel mode - BSOD схлопочишь, как юзер обидится если это какой то сервак будет...
Admin
Site Admin
Posts: 2566
Joined: Mon Aug 21, 2006 8:19 pm
Location: Russia, E-burg
Contact:

Re: VMProtect + антивирусы...

Post by Admin »

Alexey wrote:На днях каспер стал находить в VMProtect.exe вирус HEUR: Trojan.Win32.Generic
Версия 2.05.6
То же самое с консольной версией.
Из касперского написали что поправили. Проверяйте.
Cyber wrote:Вообще если не быть таким пароноидальным и юзать только мутацию, то антивирусы вполне адекватно себя ведут и не ругаются.
Мутация не обеспечивает такого уровня защиты как виртуализация.
Cyber wrote:а прикинь где то что то пойдет не так? ну в win32 sybsystem вылетит апликуха, а вот в kernel mode - BSOD схлопочишь, как юзер обидится если это какой то сервак будет...
Daemon Tools уже давно протектят дрова и ничего - "где то что то пойдет не так" у них практически не случается :))
Cyber
Posts: 48
Joined: Mon Feb 08, 2010 3:29 pm

Re: VMProtect + антивирусы...

Post by Cyber »

Admin wrote:Мутация не обеспечивает такого уровня защиты как виртуализация.
Достаточный чтобы сломать мозги :))
Admin wrote:Daemon Tools уже давно протектят дрова и ничего - "где то что то пойдет не так" у них практически не случается )
У товарища проект с виртуализацией USB. Дорог каждый тик процессора. Если их еще растрачивать на виртуализацию, то какая же будет полезная скорость работы?
Admin
Site Admin
Posts: 2566
Joined: Mon Aug 21, 2006 8:19 pm
Location: Russia, E-burg
Contact:

Re: VMProtect + антивирусы...

Post by Admin »

Cyber wrote:У товарища проект с виртуализацией USB.
У Larry проект по софтовой эмуляции электронных ключей. Насколько я понимаю до USB дело даже не доходит.
Post Reply