Проблема с антивирусами
Проблема с антивирусами
Отчет на VirusTotal:
http://www.virustotal.com/ru/analisis/6 ... 1255051471
Сама программа:
http://www.amlpages.com/Source/AmlMaple ... a_Test.zip (пароль на архив 111. Обычный незапароленный ZIP сервер попросту не пропускает, насчет чем пользуются на сервере, уже связался с админами).
Подробности: антивирь на сервере ругался только в единственном случае, если exe-шник накрыт протектором VMProtect Pro 1.81. Детектил как Trojan Agent-124036. Накрыт только exe-шник, все остальное без. На exe и ругался - все остальные DLL пропускал на сервер без вопросов (если попробовать грузить отдельными незапароленными архивами).
http://www.virustotal.com/ru/analisis/6 ... 1255051471
Сама программа:
http://www.amlpages.com/Source/AmlMaple ... a_Test.zip (пароль на архив 111. Обычный незапароленный ZIP сервер попросту не пропускает, насчет чем пользуются на сервере, уже связался с админами).
Подробности: антивирь на сервере ругался только в единственном случае, если exe-шник накрыт протектором VMProtect Pro 1.81. Детектил как Trojan Agent-124036. Накрыт только exe-шник, все остальное без. На exe и ругался - все остальные DLL пропускал на сервер без вопросов (если попробовать грузить отдельными незапароленными архивами).
Вот есть небольшой топик на эту тему:
http://www.vmpsoft.com/forum/viewtopic.php?t=180
В качестве рекомендаций могу посоветовать следующее:
1. Изменить стандартные имена секций в настройках VMProtect с ".vmp"
на ".UPX".
2. Попробовать перекомпилировать свой файл в VMProtect (при
необходимости сделать это несколько раз)
3. Если ситуация не улучшилась - попробовать отказаться от упаковки
файла.
4. Если ничего не помогает - попробовать выслать АВерам свой
запротекченный файл чтобы они убрали для него ложное срабатывание (в
этом случае можно использовать и упаковку).
http://www.vmpsoft.com/forum/viewtopic.php?t=180
В качестве рекомендаций могу посоветовать следующее:
1. Изменить стандартные имена секций в настройках VMProtect с ".vmp"
на ".UPX".
2. Попробовать перекомпилировать свой файл в VMProtect (при
необходимости сделать это несколько раз)
3. Если ситуация не улучшилась - попробовать отказаться от упаковки
файла.
4. Если ничего не помогает - попробовать выслать АВерам свой
запротекченный файл чтобы они убрали для него ложное срабатывание (в
этом случае можно использовать и упаковку).
1) Топик изучен, практически все рекомендации попробованы.
2) Секции для VM уже изначально были изменены на .VMP
3) Файл рекомпилялся много раз, с разными настройками - проверялось на VirusTotal на claim 0.94 - срабатывал каждый раз, и тоже самое на claim 0.95 - ругался на троян при заброске на FTP.
Может что-то попробовать с настройками еще (число машин?мутация, виртуализация, ультра?)
4) Упаковка была снята изначально. Может стоит поэкспериментить?
2) Секции для VM уже изначально были изменены на .VMP
3) Файл рекомпилялся много раз, с разными настройками - проверялось на VirusTotal на claim 0.94 - срабатывал каждый раз, и тоже самое на claim 0.95 - ругался на троян при заброске на FTP.
Может что-то попробовать с настройками еще (число машин?мутация, виртуализация, ультра?)
4) Упаковка была снята изначально. Может стоит поэкспериментить?
Имелось ввиду на .UPX?2) Секции для VM уже изначально были изменены на .VMP
Попробуйте выслать запротекченный файл в техподдержу этого "антивируса" с темой "false-positives":4) Упаковка была снята изначально. Может стоит поэкспериментить?
http://www.clamav.net/sendvirus/
1) Угу именно имелось ввиду что изначально в vmp-проекте было выставлено именно .UPX. Сорри - зарапортовался2) Секции для VM уже изначально были изменены на .VMP
Имелось ввиду на .UPX?
Тут вот что еще обнаружилось любопытное: начал играться с упаковкой, числом машин да отправлять на VirusTotal да к себе на FTP, где антивирь ругался.
Пробовал, пробовал - вроде ни черта не менялось. А потом в порядке эксперимента сменил свои изначальные названия секций .UPX на - все-таки хоть и не рекомендованные - .vmp.
И как рукой все сняло - нет проблем ни с VirusTotal где судя по репорту стоит clamAV 0.94, ни на своем FTP, где как грозились админы вроде как версия поновее 0.95...
Отлично )И как рукой все сняло - нет проблем ни с VirusTotal где судя по репорту стоит clamAV 0.94, ни на своем FTP, где как грозились админы вроде как версия поновее 0.95...
P.S. Еще можно поиграться с рандомными названиями секций (если этот недоантивирус так реагирует на их названия). Пример скрипта есть в хелпе в разделе "Использование скриптов"-"Примеры".
1) Хорошо, спасибо за совет. Посмотрю примеры с названиями секций.
2) Ну, возможно, эксперимент был не до конца "чистый". Т.к. просто уже шел "ночной навал" на VirusTotal, я много чего менял, компилял и отправлял сходу (чуть ли не из bat-ника .
То бишь менял и число машин, и медитировал с типами компиляций процедур. Но то, что точно проверялось отдельно, так это влияние упаковки, ну и "победная" смена названия секций обратно на .VMP.
3) Вопрос: а можно в ини-файле проекта указывать относительные пути, или только имена файлов для компиляции без путей? Чтобы не зависеть от расположения проекта на диске?
Или все равно режим "Эксперт" при ближайшем редактировании перезапишет полный путь в ини?
2) Ну, возможно, эксперимент был не до конца "чистый". Т.к. просто уже шел "ночной навал" на VirusTotal, я много чего менял, компилял и отправлял сходу (чуть ли не из bat-ника .
То бишь менял и число машин, и медитировал с типами компиляций процедур. Но то, что точно проверялось отдельно, так это влияние упаковки, ну и "победная" смена названия секций обратно на .VMP.
3) Вопрос: а можно в ини-файле проекта указывать относительные пути, или только имена файлов для компиляции без путей? Чтобы не зависеть от расположения проекта на диске?
Или все равно режим "Эксперт" при ближайшем редактировании перезапишет полный путь в ини?
В файле проекта всегда лежит абсолютный путь до исполняемого файла. Чтобы не зависеть от расположения проекта в консольной версии предусмотрены ключи -pf (для файла проекта) и -sf (для файла скрипта).Вопрос: а можно в ини-файле проекта указывать относительные пути, или только имена файлов для компиляции без путей? Чтобы не зависеть от расположения проекта на диске?
Проблемы с VMProtect 2.0
Проблемы возобновились на VMProtect 2.0, но теперь с другим антивирусом - с Касперским.
Сам проблемный файл тут: http://www.amlpages.com/Source/AmlMaple230_Alpha.zip (проблемы с exe-шником, он и накрыт)
Отчет на вирустотал тут: http://www.virustotal.com/ru/analisis/c ... 1255733132
Запрос в саппорт Касперскому сбросил - жду комментариев! Настройки те же: секция .VMP - чтобы ClamAV не ругался, сжатия нет, случайные имена секций отключил, они вообще у вирустотал паранойю вызывают
Сам проблемный файл тут: http://www.amlpages.com/Source/AmlMaple230_Alpha.zip (проблемы с exe-шником, он и накрыт)
Отчет на вирустотал тут: http://www.virustotal.com/ru/analisis/c ... 1255733132
Запрос в саппорт Касперскому сбросил - жду комментариев! Настройки те же: секция .VMP - чтобы ClamAV не ругался, сжатия нет, случайные имена секций отключил, они вообще у вирустотал паранойю вызывают
Пока тишина.1) И что Вам ответил Касперский на запрос?
Да - можно использовать несколько версий из разных папок. На зарегистрированность это никак не повлияет.2) А реально использовать одновременно и версию 1.81, и 2.00? Скажем расположив их в разных папках? Это как-то повлияет на зарегистрированность?
1) Мне все-таки Касперские ответили: сказали что убрали false-positive. Но следующий бильд софтины - 3 байта от силы поменял, да и просто перепротекченная заново опять вызывала false-positive. Отписал им про новое срабатывание. Ответили мол дело в распаковке файла. Но у меня exe-шник не пакуется на выходе.
2) Поставил сбоку в соседнюю директорию версию 1.81. Запротектил один и тот же exe-шник сначала новой версией 2.01, а потом отдельно версией 1.81. VirusTotal ругался только на версию 2.01, с 1.81 все в полном порядке. Ну и не без Касперского на VirusTotal в отчете было.
Вы как-то контактировали с ними на предмет проблем с новыми версиями VMProtect?
2) Поставил сбоку в соседнюю директорию версию 1.81. Запротектил один и тот же exe-шник сначала новой версией 2.01, а потом отдельно версией 1.81. VirusTotal ругался только на версию 2.01, с 1.81 все в полном порядке. Ну и не без Касперского на VirusTotal в отчете было.
Вы как-то контактировали с ними на предмет проблем с новыми версиями VMProtect?