VMProtect + антивирусы...
-
- Posts: 7
- Joined: Fri Aug 21, 2009 5:36 am
Re: VMProtect + антивирусы...
Кстати можно еще еще добавить.
Есть такая вещь как Astaro Security Gateway,один из двух его антивирусных движков(в 7.504 как минимум) - Avira(и исправленные в авире фолсы - у меня решили с ним проблемы)
Есть такая вещь как Astaro Security Gateway,один из двух его антивирусных движков(в 7.504 как минимум) - Avira(и исправленные в авире фолсы - у меня решили с ним проблемы)
Re: VMProtect + антивирусы...
Не знаете каким он именем живет на virustotal?Dmitry Kazimirov wrote:Есть такая вещь как Astaro Security Gateway
-
- Posts: 7
- Joined: Fri Aug 21, 2009 5:36 am
Re: VMProtect + антивирусы...
отдельно его нет там.
в 7.5xx используются движки от Avira и ClamAV
в моем случае - был фолс авирой(после чего я и писал письмо с проблемой на ней)
в 7.5xx используются движки от Avira и ClamAV
в моем случае - был фолс авирой(после чего я и писал письмо с проблемой на ней)
Re: VMProtect + антивирусы...
Наткнулся сегодня на проблемку с вирусами:
7 из 40
http://www.virustotal.com/ru/analisis/a ... 1271158259
6 из 40
http://www.virustotal.com/ru/analisis/f ... 1271156235
4 из 39
http://www.virustotal.com/ru/analisis/f ... 1271163732
+ в ходе работы касперский предупредил о поведении похожем на PDS.Query
Екзешник и настройки могу выслать приватом.
Есть ли какие-то общие рекомендации по уменьшению срабатываний антивирусов?
7 из 40
http://www.virustotal.com/ru/analisis/a ... 1271158259
6 из 40
http://www.virustotal.com/ru/analisis/f ... 1271156235
4 из 39
http://www.virustotal.com/ru/analisis/f ... 1271163732
+ в ходе работы касперский предупредил о поведении похожем на PDS.Query
Екзешник и настройки могу выслать приватом.
Есть ли какие-то общие рекомендации по уменьшению срабатываний антивирусов?
Re: VMProtect + антивирусы...
Шлите весь комплект на info@vmpsoft.comЕкзешник и настройки могу выслать приватом.
Re: VMProtect + антивирусы...
Вот и с Касперским появилась трабла (VMProtect 2.04.3):
http://www.virustotal.com/ru/analisis/2 ... 1271354716
Опции защиты:
http://www.virustotal.com/ru/analisis/2 ... 1271354716
Опции защиты:
- Упаковывать выходной файл: Лучший (медленная распаковка);
- Секции ВМ: .UPX
- Компиляция: Контроль целостности ВМ объектов (снижение скорости), Шифрация регистров на выходе из ВМ (снижение скорости);
- Виртуальные Машины: количество - 1.
Never put off till tomorrow what can be put off till day after tomorrow just as well
Re: VMProtect + антивирусы...
2 Larry:
Выслал вам более новую версию - защитите программу с её помощью и пришлите отчет с virustotal.
Выслал вам более новую версию - защитите программу с её помощью и пришлите отчет с virustotal.
Re: VMProtect + антивирусы...
VMProtect 2.04.7:
http://www.virustotal.com/ru/analisis/9 ... 1271506183
Опции защиты:
http://www.virustotal.com/ru/analisis/9 ... 1271506183
Опции защиты:
- Упаковывать выходной файл: Лучший (медленная распаковка);
- Секции ВМ: .UPX
- Компиляция: Контроль целостности ВМ объектов (снижение скорости), Шифрация регистров на выходе из ВМ (снижение скорости);
- Виртуальные Машины: количество - 1.
Never put off till tomorrow what can be put off till day after tomorrow just as well
Re: VMProtect + антивирусы...
У меня сегодня новый рекорд 10 из 40
http://www.virustotal.com/ru/analisis/f ... 1271689234
http://www.virustotal.com/ru/analisis/f ... 1271689234
Re: VMProtect + антивирусы...
2 Larry, rostyslav:
В настоящее время мы ведем переговоры с F-Prot, F-Secure и Ikarus по поводу ложных срабатываний, но к сожалению пока нет никаких новостей по поводу решения возникших проблем с фолсами. Единственный вариант решения проблемы на сегодняшний день - это самостоятельно отправить свои файлы через сайт разработчиков этих антивирусов с пометкой "false alarm".
В настоящее время мы ведем переговоры с F-Prot, F-Secure и Ikarus по поводу ложных срабатываний, но к сожалению пока нет никаких новостей по поводу решения возникших проблем с фолсами. Единственный вариант решения проблемы на сегодняшний день - это самостоятельно отправить свои файлы через сайт разработчиков этих антивирусов с пометкой "false alarm".
Re: VMProtect + антивирусы...
Ага, это понятно, спасибо. Интересно было, что за 'Bredolab' определяет антивирус Ikarus.
Never put off till tomorrow what can be put off till day after tomorrow just as well
Re: VMProtect + антивирусы...
Похоже на очередной креатив от Ikarus )Интересно было, что за 'Bredolab' определяет антивирус Ikarus.
Re: VMProtect + антивирусы...
Вот чисто из любопытства:
Антивирусы ловят запротекченые "чистые" программные продукты по сигнатуре или плавающей сигнатуре ну и нескольким подходящим шаблонам (упаковка, экспорт и.т.д.)
У вас есть средство мутации кода.. почему бы не избавлятся от плавающих сигнатур и шаблонов с помощью мутации по дефолту? Скажим так рабочее ядро всегда рандомно с точки зрения антивируса, а запротекченые участки кода пользователь сам уже выберет каким способом их защищать.
Или сейчас оно в таком духе и реализовано?
Антивирусы ловят запротекченые "чистые" программные продукты по сигнатуре или плавающей сигнатуре ну и нескольким подходящим шаблонам (упаковка, экспорт и.т.д.)
У вас есть средство мутации кода.. почему бы не избавлятся от плавающих сигнатур и шаблонов с помощью мутации по дефолту? Скажим так рабочее ядро всегда рандомно с точки зрения антивируса, а запротекченые участки кода пользователь сам уже выберет каким способом их защищать.
Или сейчас оно в таком духе и реализовано?
Re: VMProtect + антивирусы...
Рабочее ядро (исполнитель ВМ) и так мутирует при каждой компиляции - поэтому у него нет постоянных сигнатур. Насчет плавающих - не уверен (возможно антивирусы уже научились деобфусцировать натив на этапе проверки EntryPoint). Ну а в целом создается впечатление, что дальше EntryPoint многие "антивирусы" даже не лезут - файл "детектится" по внешним признакам (названию секций, расположение импорта, точки входа и т.п.). В последних версиях наоборот пришлось добавить дополнительные признаки наличия VMProtect чтобы антивирусы шли по правильной ветке )
Re: VMProtect + антивирусы...
VMprotect Lite 2.05, дефолтные настройки, секции поменяны на .UPX.
Ругаются ClamAV, Sophos, Arcavir. Вот так вот - http://virusscan.jotti.org/en/scanresul ... a4e5c69a3e
Ругаются ClamAV, Sophos, Arcavir. Вот так вот - http://virusscan.jotti.org/en/scanresul ... a4e5c69a3e