VMProtect + антивирусы...
VMProtect + антивирусы...
Боремся с false-alarm-ами своими силами:
AVG
Меняем стандартное название ВМ секций с ".vmp" на ".UPX"
Подпись файла сертификатом решает проблему
NOD32
Иногда ругается на файл при отсуствии VersionInfo в ресурсах.
Проблема с фолсами решена с версии 2.04.3
При использовании варезных версий VMProtect может обнаруживать Win32/Packed.VMProtect.AAA, Win32/Packed.VMProtect.AAB, Win32/Packed.VMProtect.AAС
Sophos
Проблема с фолсами решена с версии 2.04.3
При использовании варезных версий VMProtect может обнаруживать Mal/Behav-363
AntiVir
Проблема с фолсами решена с версии 2.04.3
Symantec
При использовании варезных версий VMProtect может обнаруживать Packed.Vmpbad!gen1
AVG
Меняем стандартное название ВМ секций с ".vmp" на ".UPX"
Подпись файла сертификатом решает проблему
NOD32
Иногда ругается на файл при отсуствии VersionInfo в ресурсах.
Проблема с фолсами решена с версии 2.04.3
При использовании варезных версий VMProtect может обнаруживать Win32/Packed.VMProtect.AAA, Win32/Packed.VMProtect.AAB, Win32/Packed.VMProtect.AAС
Sophos
Проблема с фолсами решена с версии 2.04.3
При использовании варезных версий VMProtect может обнаруживать Mal/Behav-363
AntiVir
Проблема с фолсами решена с версии 2.04.3
Symantec
При использовании варезных версий VMProtect может обнаруживать Packed.Vmpbad!gen1
Хорошо, буду первым
Последняя версия 1.8 Lite.
Программа накрытая VMProtect с максимальной защитой.
Ссылка на программу http://www.fox-manager.com.ua/beta/fm_beta_docflow.zip
Результат VirusTotal http://www.virustotal.com/ru/analisis/e ... ecfc14a0b4
Я понимаю, что вопрос можно решить, написав в суппорт каждому антивирусу, но к сожалению, с выходом новой версии моей программы, каждый раз нужно писать заново.
Последняя версия 1.8 Lite.
Программа накрытая VMProtect с максимальной защитой.
Ссылка на программу http://www.fox-manager.com.ua/beta/fm_beta_docflow.zip
Результат VirusTotal http://www.virustotal.com/ru/analisis/e ... ecfc14a0b4
Я понимаю, что вопрос можно решить, написав в суппорт каждому антивирусу, но к сожалению, с выходом новой версии моей программы, каждый раз нужно писать заново.
Будем решать.AVG 8.5.0.287 2009.04.16 Win32/NSAnti
Орет на все что упаковано и что не может распаковать. "Лечится" отключением упаковки.Sophos 4.40.0 2009.04.16 Sus/UnkPacker
По этому поводу вообще не понятно кому писать. Они начинают переводить стрелки ну другую контору, чей "GW-Edition" на самом деле.McAfee-GW-Edition 6.7.6 2009.04.16 Virus.Win32.FileInfector.gen!84 (suspicious)
Будем решать.
Будем решать.TrendMicro 8.700.0.1004 2009.04.16 Cryp_Opet-3
Где-то находил информацию что это бывший SecureWeb-Gateway (бывший Webwasher-Gateway) построен на движке Avira + собственные разработки Securecomputing. Это продукт для серверов, распространенность на территории СНГ практически нулевая.McAfee-GW-Edition 6.7.6 2009.04.16 Virus.Win32.FileInfector.gen!84 (suspicious)
А вот если решить вопросы на глобальном уровне со всеми остальными, антивирусами, то думаю это бы прибавило популярности VMProtect.
Насколько знаю, существует такая практика сотрудничества с антивирусами, что им даётся часть исходного кода и алгоритмов, а взамен они не детектят упакованные программы как вирусы. Кроме того, можно договорится так, чтобы взломанные версии VMProtect (именно их обычно используют для шифрования вирусов и троянов) детектились как вирусы по умолчанию (это выгодно разработчику VMProtect). Например, если накрыть какую-либо программу взломанной Themida, то антивирусы будут ругаться, а если лицензионной - то нет. Вот такое взаимовыгодное сотрудничество
В настоящее время у нас уже налажено техническое сотрудничество подобного плана с несколькими наиболее распространенными антивирусами. К сожалению скооперироваться сразу со всеми невозможно. Поэтому какое-то время все равно будут возникать фалсы у менее распространенных антивирусов.Насколько знаю, существует такая практика сотрудничества с антивирусами, что им даётся часть исходного кода и алгоритмов, а взамен они не детектят упакованные программы как вирусы. Кроме того, можно договорится так, чтобы взломанные версии VMProtect (именно их обычно используют для шифрования вирусов и троянов) детектились как вирусы по умолчанию (это выгодно разработчику VMProtect). Например, если накрыть какую-либо программу взломанной Themida, то антивирусы будут ругаться, а если лицензионной - то нет. Вот такое взаимовыгодное сотрудничество Smile
У меня совершенно аналогичные вирусы обнаруживает.
http://www.virustotal.com/ru/analisis/b ... 8ae24d41dc
Юзеры с TrendMicro частенько жалуются, так что это первоочередное.
Еще жаловались пару раз с PC-Cillin. Не знаю что это.
Прогу можно тут скачать http://aklabs.com/downloads/notesholder.zip
http://www.virustotal.com/ru/analisis/b ... 8ae24d41dc
Юзеры с TrendMicro частенько жалуются, так что это первоочередное.
Еще жаловались пару раз с PC-Cillin. Не знаю что это.
Прогу можно тут скачать http://aklabs.com/downloads/notesholder.zip
А как удалось решить проблему с AVG?У меня совершенно аналогичные вирусы обнаруживает
Кстати появился новый антивирус Prevx1, который находит High Risk Worm
http://www.virustotal.com/ru/analisis/d ... e608b74827
Erazor
В файл проекта (*.vmp) достаточно добавить одну строчку:
В файл проекта (*.vmp) достаточно добавить одну строчку:
Code: Select all
[ProjectInfo]
...
VMCodeSectionName=.UPX
Результаты переписки с
1. McAfee - полный игнор
http://community.mcafee.com/showthread.php?p=560012
2. Trend Micro - от сотрудничества фактически отказались. Предлагают высылать проблемные файлы через специальную форму:
http://subwiz.trendmicro.com/SubWiz/Wiz ... pgWizard=7
1. McAfee - полный игнор
http://community.mcafee.com/showthread.php?p=560012
2. Trend Micro - от сотрудничества фактически отказались. Предлагают высылать проблемные файлы через специальную форму:
http://subwiz.trendmicro.com/SubWiz/Wiz ... pgWizard=7
Re: VMProtect + антивирусы...
Начиная с версии 2.04 полностью решена проблема с фолсами у Sophos.
Re: VMProtect + антивирусы...
Начиная с версии 2.04 полностью решена проблема с фолсами у AntiVir.