VMProtect Software » Forum

Отчет на VirusTotal:
http://www.virustotal.com/ru/analisis/6 ... 1255051471

Сама программа:
http://www.amlpages.com/Source/AmlMaple ... a_Test.zip (пароль на архив 111. Обычный незапароленный ZIP сервер попросту не пропускает, насчет чем пользуются на сервере, уже связался с админами).

Подробности: антивирь на сервере ругался только в единственном случае, если exe-шник накрыт протектором VMProtect Pro 1.81. Детектил как Trojan Agent-124036. Накрыт только exe-шник, все остальное без. На exe и ругался - все остальные DLL пропускал на сервер без вопросов (если попробовать грузить отдельными незапароленными архивами).

Админы сообщили, что на сервере "боязливый" антивирь, который даже незакрытый паролем ZIP не пускал это clamav-0.95

Вот есть небольшой топик на эту тему:
http://www.vmpsoft.com/forum/viewtopic.php?t=180

В качестве рекомендаций могу посоветовать следующее:
1. Изменить стандартные имена секций в настройках VMProtect с ".vmp"
на ".UPX".
2. Попробовать перекомпилировать свой файл в VMProtect (при
необходимости сделать это несколько раз)
3. Если ситуация не улучшилась - попробовать отказаться от упаковки
файла.
4. Если ничего не помогает - попробовать выслать АВерам свой
запротекченный файл чтобы они убрали для него ложное срабатывание (в
этом случае можно использовать и упаковку).

1) Топик изучен, практически все рекомендации попробованы.

2) Секции для VM уже изначально были изменены на .VMP

3) Файл рекомпилялся много раз, с разными настройками - проверялось на VirusTotal на claim 0.94 - срабатывал каждый раз, и тоже самое на claim 0.95 - ругался на троян при заброске на FTP.
Может что-то попробовать с настройками еще (число машин?мутация, виртуализация, ультра?)

4) Упаковка была снята изначально. Может стоит поэкспериментить?

2) Секции для VM уже изначально были изменены на .VMP

Имелось ввиду на .UPX?

4) Упаковка была снята изначально. Может стоит поэкспериментить?

Попробуйте выслать запротекченный файл в техподдержу этого "антивируса" с темой "false-positives":
http://www.clamav.net/sendvirus/

2) Секции для VM уже изначально были изменены на .VMP
Имелось ввиду на .UPX?

1) Угу именно имелось ввиду что изначально в vmp-проекте было выставлено именно .UPX. Сорри - зарапортовался

Тут вот что еще обнаружилось любопытное: начал играться с упаковкой, числом машин да отправлять на VirusTotal да к себе на FTP, где антивирь ругался.
Пробовал, пробовал - вроде ни черта не менялось. А потом в порядке эксперимента сменил свои изначальные названия секций .UPX на - все-таки хоть и не рекомендованные - .vmp.
И как рукой все сняло - нет проблем ни с VirusTotal где судя по репорту стоит clamAV 0.94, ни на своем FTP, где как грозились админы вроде как версия поновее 0.95...

И как рукой все сняло - нет проблем ни с VirusTotal где судя по репорту стоит clamAV 0.94, ни на своем FTP, где как грозились админы вроде как версия поновее 0.95...

Отлично )

P.S. Еще можно поиграться с рандомными названиями секций (если этот недоантивирус так реагирует на их названия). Пример скрипта есть в хелпе в разделе "Использование скриптов"-"Примеры".

1) Хорошо, спасибо за совет. Посмотрю примеры с названиями секций.

2) Ну, возможно, эксперимент был не до конца "чистый". Т.к. просто уже шел "ночной навал" на VirusTotal, я много чего менял, компилял и отправлял сходу (чуть ли не из bat-ника .
То бишь менял и число машин, и медитировал с типами компиляций процедур. Но то, что точно проверялось отдельно, так это влияние упаковки, ну и "победная" смена названия секций обратно на .VMP.

3) Вопрос: а можно в ини-файле проекта указывать относительные пути, или только имена файлов для компиляции без путей? Чтобы не зависеть от расположения проекта на диске?
Или все равно режим "Эксперт" при ближайшем редактировании перезапишет полный путь в ини?

Вопрос: а можно в ини-файле проекта указывать относительные пути, или только имена файлов для компиляции без путей? Чтобы не зависеть от расположения проекта на диске?

В файле проекта всегда лежит абсолютный путь до исполняемого файла. Чтобы не зависеть от расположения проекта в консольной версии предусмотрены ключи -pf (для файла проекта) и -sf (для файла скрипта).

Проблемы возобновились на VMProtect 2.0, но теперь с другим антивирусом - с Касперским.

Сам проблемный файл тут: http://www.amlpages.com/Source/AmlMaple230_Alpha.zip (проблемы с exe-шником, он и накрыт)
Отчет на вирустотал тут: http://www.virustotal.com/ru/analisis/c ... 1255733132

Запрос в саппорт Касперскому сбросил - жду комментариев! Настройки те же: секция .VMP - чтобы ClamAV не ругался, сжатия нет, случайные имена секций отключил, они вообще у вирустотал паранойю вызывают

Продублировал ваш запрос на фолс в поддержку Касперского уже от своего имени.

1) И что Вам ответил Касперский на запрос?
2) А реально использовать одновременно и версию 1.81, и 2.00? Скажем расположив их в разных папках? Это как-то повлияет на зарегистрированность?

1) И что Вам ответил Касперский на запрос?

Пока тишина.

2) А реально использовать одновременно и версию 1.81, и 2.00? Скажем расположив их в разных папках? Это как-то повлияет на зарегистрированность?

Да - можно использовать несколько версий из разных папок. На зарегистрированность это никак не повлияет.

1) Мне все-таки Касперские ответили: сказали что убрали false-positive. Но следующий бильд софтины - 3 байта от силы поменял, да и просто перепротекченная заново опять вызывала false-positive. Отписал им про новое срабатывание. Ответили мол дело в распаковке файла. Но у меня exe-шник не пакуется на выходе.

2) Поставил сбоку в соседнюю директорию версию 1.81. Запротектил один и тот же exe-шник сначала новой версией 2.01, а потом отдельно версией 1.81. VirusTotal ругался только на версию 2.01, с 1.81 все в полном порядке. Ну и не без Касперского на VirusTotal в отчете было.
Вы как-то контактировали с ними на предмет проблем с новыми версиями VMProtect?

Скиньте мне в ПМ контакты с кем вы общались по поводу фолсов у Касперского. Возможно им надо будет выслать полную версию вмпротекта 2.01 чтобы они у себя уже точно все поправили.
Я отправлял им одно письмо по вашей проблеме, но никакого ответа так и не получил.