Page 2 of 6

Re: VMProtect + антивирусы...

Posted: Mon Apr 05, 2010 9:28 am
by Dmitry Kazimirov
Кстати можно еще еще добавить.
Есть такая вещь как Astaro Security Gateway,один из двух его антивирусных движков(в 7.504 как минимум) - Avira(и исправленные в авире фолсы - у меня решили с ним проблемы)

Re: VMProtect + антивирусы...

Posted: Mon Apr 05, 2010 9:43 am
by Admin
Dmitry Kazimirov wrote:Есть такая вещь как Astaro Security Gateway

Не знаете каким он именем живет на virustotal?

Re: VMProtect + антивирусы...

Posted: Mon Apr 05, 2010 3:25 pm
by Dmitry Kazimirov
отдельно его нет там.
в 7.5xx используются движки от Avira и ClamAV
в моем случае - был фолс авирой(после чего я и писал письмо с проблемой на ней)

Re: VMProtect + антивирусы...

Posted: Tue Apr 13, 2010 1:07 pm
by rostyslav
Наткнулся сегодня на проблемку с вирусами:

7 из 40
http://www.virustotal.com/ru/analisis/a ... 1271158259

6 из 40
http://www.virustotal.com/ru/analisis/f ... 1271156235

4 из 39
http://www.virustotal.com/ru/analisis/f ... 1271163732

+ в ходе работы касперский предупредил о поведении похожем на PDS.Query

Екзешник и настройки могу выслать приватом.

Есть ли какие-то общие рекомендации по уменьшению срабатываний антивирусов?

Re: VMProtect + антивирусы...

Posted: Tue Apr 13, 2010 1:23 pm
by Admin
Екзешник и настройки могу выслать приватом.

Шлите весь комплект на info@vmpsoft.com

Re: VMProtect + антивирусы...

Posted: Thu Apr 15, 2010 6:11 pm
by Larry
Вот и с Касперским появилась трабла (VMProtect 2.04.3):
http://www.virustotal.com/ru/analisis/2d06191150fd239e1fab3dfeb0db437015aac662ea829d9c4293ba4ec3e07a63-1271354716

Опции защиты:

  • Упаковывать выходной файл: Лучший (медленная распаковка);
  • Секции ВМ: .UPX
  • Компиляция: Контроль целостности ВМ объектов (снижение скорости), Шифрация регистров на выходе из ВМ (снижение скорости);
  • Виртуальные Машины: количество - 1.

Отправил файл в антивирусную лабораторию Касперского. Посмотрим, что ответят.

Re: VMProtect + антивирусы...

Posted: Fri Apr 16, 2010 1:50 am
by Admin
2 Larry:
Выслал вам более новую версию - защитите программу с её помощью и пришлите отчет с virustotal.

Re: VMProtect + антивирусы...

Posted: Sat Apr 17, 2010 12:17 pm
by Larry
VMProtect 2.04.7:
http://www.virustotal.com/ru/analisis/92dd1f0dfb558a6e188e4b450cb1af7d7962d383bf320c208576682b3586a7f5-1271506183

Опции защиты:

  • Упаковывать выходной файл: Лучший (медленная распаковка);
  • Секции ВМ: .UPX
  • Компиляция: Контроль целостности ВМ объектов (снижение скорости), Шифрация регистров на выходе из ВМ (снижение скорости);
  • Виртуальные Машины: количество - 1.

Теперь 'Ikarus' шумит. Раньше такого не замечал. 'Trojan.Win32.Bredolab' - интересно, кого это они так называют. Ну с a-squared всё ясно. Они вирусные записи тырят у NOD32, Kaspersky, Avira и т.д.

Re: VMProtect + антивирусы...

Posted: Mon Apr 19, 2010 3:23 pm
by rostyslav
У меня сегодня новый рекорд 10 из 40
http://www.virustotal.com/ru/analisis/f ... 1271689234

Re: VMProtect + антивирусы...

Posted: Mon Apr 19, 2010 5:22 pm
by Admin
2 Larry, rostyslav:
В настоящее время мы ведем переговоры с F-Prot, F-Secure и Ikarus по поводу ложных срабатываний, но к сожалению пока нет никаких новостей по поводу решения возникших проблем с фолсами. Единственный вариант решения проблемы на сегодняшний день - это самостоятельно отправить свои файлы через сайт разработчиков этих антивирусов с пометкой "false alarm".

Re: VMProtect + антивирусы...

Posted: Tue Apr 20, 2010 11:40 pm
by Larry
Ага, это понятно, спасибо. Интересно было, что за 'Bredolab' определяет антивирус Ikarus.

Re: VMProtect + антивирусы...

Posted: Wed Apr 21, 2010 5:20 am
by Admin
Интересно было, что за 'Bredolab' определяет антивирус Ikarus.

Похоже на очередной креатив от Ikarus :))

Re: VMProtect + антивирусы...

Posted: Tue May 04, 2010 8:03 pm
by Cyber
Вот чисто из любопытства:

Антивирусы ловят запротекченые "чистые" программные продукты по сигнатуре или плавающей сигнатуре ну и нескольким подходящим шаблонам (упаковка, экспорт и.т.д.)
У вас есть средство мутации кода.. почему бы не избавлятся от плавающих сигнатур и шаблонов с помощью мутации по дефолту? Скажим так рабочее ядро всегда рандомно с точки зрения антивируса, а запротекченые участки кода пользователь сам уже выберет каким способом их защищать.

Или сейчас оно в таком духе и реализовано?

Re: VMProtect + антивирусы...

Posted: Wed May 05, 2010 1:52 am
by Admin
Рабочее ядро (исполнитель ВМ) и так мутирует при каждой компиляции - поэтому у него нет постоянных сигнатур. Насчет плавающих - не уверен (возможно антивирусы уже научились деобфусцировать натив на этапе проверки EntryPoint). Ну а в целом создается впечатление, что дальше EntryPoint многие "антивирусы" даже не лезут - файл "детектится" по внешним признакам (названию секций, расположение импорта, точки входа и т.п.). В последних версиях наоборот пришлось добавить дополнительные признаки наличия VMProtect чтобы антивирусы шли по правильной ветке :))

Re: VMProtect + антивирусы...

Posted: Wed Jun 16, 2010 12:54 pm
by vzaguski
VMprotect Lite 2.05, дефолтные настройки, секции поменяны на .UPX.
Ругаются ClamAV, Sophos, Arcavir. Вот так вот - http://virusscan.jotti.org/en/scanresul ... a4e5c69a3e