Всем привет. Наверно немного офтоп получится, т.к. это не протектор, а только упаковщик, да ещё и (о боже...) онлайн
Интересует ваше мнени об этой поделке --> Link <--. И если кому интересно, рассмартиваются заявки на добавление новых фич.

| Сообщение посчитали полезным:

MasterSoft пишет:
кажется продукт позиционировался как пакер, не?
Да именно как пакер Чтобы "догнать" конкурентов в той таблице нужно выключить паковку ресурсов, тогда они станут примерно в один ряд. Почему именно в данном случае получилось больше? Возможно я как-то не так отфильтровал ресурсы, возможно другие более хитро отсекают ресурсы те которые нужно паковать, а потом их мержат. Я же просто пакую весь файл, и снаружи дублирую все иконки и манифест. Можно конечно ещё дальше бороться за байты - сдвигать заголовки, мержить секции, но это пока не приоритет. Думаешь главный показатель - точечно минимальный размер?

Hellspawn пишет:
какой-то обзор не точный аспак поддерживает оверлей да и с длл-ками обычно все норм. как-то вы принизили конкурентов
У меня все сугубо прагматично, есть набор тестов, и если пакер не справился с тестом, я не копал причины, сейчас посмотрю...
Итак, вот оригинал теста оверлея --> Link <--, вот упакованный тест оверлея --> Link <--. Как видно - последний не выводит нужный текст.
По дллкам. Оригинал теста --> Link <-- (выводит сообщения в dbgview на атаче\детаче). Упакованная длл --> Link <--. Теперь лоадер --> Link <-- (для того чтобы лоадер загрузил ддлку нужно дллку переименовать в dll.dll и положить в один каталог с dll_loader.exe и запустить последний). Упакованная длл не выводит текст в dbgview.

Gideon Vi пишет:
полномасштабный пеар - требуются некоторые начальные фонды для найма сотрудников и проплаты куда следует. Оно тебе надо?
О! а с этого места поподробней можно, зачем сотрудники, кому и за платить?

daFix пишет:
А ты считаешь что YAP такой-же непобедимый? Гложут меня сомнения
Распаковка YAP тривиальна, как динамическая, так и статическая. Для ускорения статической распаковки даже введены специальные бинраные метки. Да и вообще не стоит сравнивать протекторы с пакерами с точки зрения распаковки, ты лучше меня знаешь что распаковать любой пакер без фич протектора - тривиально. Вот тут пытался этот сделать я --> Link <--


ClockMan пишет:
Самый лучший и полезный из пакеров это UPX ,а остальное всё параша для криворуких программистов....
Не спорю, но в UPX есть одна большая проблема - нет поддержки 64х бит, YAP этой проблемы лишён

Alchemistry точка зрения ясна. Вопрос в другом, что предлагаешь? Обозвать проблему - нерешаемой и сдаться? Это не сложно, но.... Скажи - что сделать невозможно, но если бы это было сделано, то это бы помогло в данной ситуации?

Однако попал он под ав потому что это протектор
Главное не допустить упаковку мальвары пакером, и благодаря тому, что все упаковываемые бинари проходят через одну точку контроля - онлайн скрипт упаковки, такой контроль, хотя бы теоретически, возможен. Сейчас смысла нет использовать YAP для упаковки мальвары т.к. он сам палится 15/42. Но и смысла пробовать фиксить пакер чтобы он не палился, пока не будет решен вопрос контроля - смысла нет.

| Сообщение посчитали полезным:

Кстати, у кого есть программка на дотнете? Поделитесь пожалуйста, хочу проверить. И ещё. Кто знает как заставить какой-либо компилятор сгенерировать 64х битный ТЛС колбек?

| Сообщение посчитали полезным:

Deric
Да я утрировал, понимаю что у тебя не было упора на защиту. Просто обычно антивирусники пишут статические распаковщики и подключают их к своей базе.
В случае запакованного файла, ав анпакает его и сканит на вирусы. Я вообще не вижу ни какой проблемы. Думаю что любая контора напишет анпакер за несколько дней.
Но даже в случае, если это был бы крутожопый протектор, можно было бы решить вопрос достаточно просто - дать антивирусным конторам модуль распаковки прота.
Разумеется, распаковки не до рабочего состояния

-----
Research For Food

| Сообщение посчитали полезным:

у упх единственный минус x64, тогда как у YAP их куча, только онлайн версия, закрытые исхордники, хуже степень сжатия, реакция ав список при желании можно продолжить? так что есть над чем работать и о чем подумать

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Deric пишет:
Неа, не планируется, если будет офлайн версия, то ни о каком решении проблемы с AV говорить вообще не приходится. А нужно ли? Также есть и другие факторы. Сорци тоже не планируются, а зачем? На любые вопросы готов ответить и подсказать, если кто-то хочет научиться.
Короче подтвердилась моя версия, высказанная несколько месяцев назад. Ждем появления доступа к разовому крипту малвари за n$ и месячные абонементы.. Не забудь еще пообещать "приватные сигнатуры" за отдельную плату..
Чтобы "догнать" конкурентов
Каких ты конкурентов догнать хочешь? UPX?
Если честно - действительно на ум приходит только что-то в духе криптосервиса для кулхацкеров...Хорошо, если я ошибаюсь...

| Сообщение посчитали полезным:

Deric пишет:
а с этого места поподробней можно, зачем сотрудники, кому и за платить?

грамотный пеар отнимает время. Чтобы сэкономить свое нанимаются люди.
Кому и куда - гугол с ключевыми словами: как продвигать свой программный продукт.

| Сообщение посчитали полезным:

daFix пишет:
Разумеется, распаковки не до рабочего состояния
Невопрос, озадачимся написанием распаковщика, с сорцами и коментами.
daFix пишет:
Я вообще не вижу ни какой проблемы
проблема в том, что они не будут разбираться пакер это или нет, если найдут его в wild-life при использовании YAP в malware, и потом, доказывай им что я не олень


Hellspawn пишет:
у упх единственный минус x64, тогда как у YAP их куча, только онлайн версия, закрытые исхордники, хуже степень сжатия, реакция ав список при желании можно продолжить?
Продолжать не можно, а НУЖНО! Давай договоримся, если ты найдёшь такой баг, то я обещаю его в передлах 2х недель исправить, компрендо?
Только онлайн версия? Да, только онлайн, это позволяет делать многие вещи, которые не позволил бы офлайн, я уже пытался об этом рассказать выше. В наш век распространения инета, имхо, это вообще не проблема. Чем плох онлайн-то, кроме общепринятых стереотипов?
Закрытые сорци? Да, потому, что возможно проект дорастет до протектора, и тогда частично открытые сорци будут восприниматься потенциальными клиентами не однозначно. Ну и давай по чесноку, ты часто смотрел сорци UPX? А часто ты в них находил то, что искал? А как часто такую же процедуру будут делать 90% пользователей UPX? Тут плюс скорее психологический, чем объективный.
Про степень сжатия я вас услышал, буду думать.
Насчет реакции АВ, как ты уже мог заметить, вопрос прорабатывается. Не все же сразу . То, что сейчас у UPX 4/42 это скорее исторически сложившийся факт, чем заслуга самого UPX.

ressa
Так ты определись подтвердилась версия или ты ошибаешься?

ressa пишет:
Каких ты конкурентов догнать хочешь? UPX?
Не догнать, перегнать, и если не по распространенности, то хотя бы по набору фич (только под win платформу, разумеется)

| Сообщение посчитали полезным:

ну понятно, цель протектор дальше разговор вести не о чем.

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

> Кстати, у кого есть программка на дотнете? Поделитесь пожалуйста, хочу проверить.

Приаттачил x86 и x64

> И ещё. Кто знает как заставить какой-либо компилятор сгенерировать 64х битный ТЛС колбек?

Никак - под х64 tls колбэки выпилили потому что это бесполезная упячка

>> Разумеется, распаковки не до рабочего состояния

А нафига такая распаковка нужна? До нерабочего состояния можно и эмулятором пройти.

> Невопрос, озадачимся написанием распаковщика, с сорцами и коментами.

Не трать время - даже при наличии сорцов никто не будет добавлять распаковку пока пакер не будет использоваться в сотнях популярных легальных программах. А до этого момента гораздо проще его тупо детектить.

> То, что сейчас у UPX 4/42 это скорее исторически сложившийся факт, чем заслуга самого UPX

Скорее задранный уровень эвристикина вирустотале, и выбранный файл - упакованный файл со строчкой "Microsoft" в version info это подозрительно потому что микрософт никогда не пакует свои блокноты =)

3ac1_04.05.2012_EXELAB.rU.tgz - dotnet_goats.zip

| Сообщение посчитали полезным: Deric

DrGolova пишет:
Никак - под х64 tls колбэки выпилили потому что это бесполезная упячка
Откуда это выпилили? Компили, может, и не генерят коллбеки, но они и в х86 особо не генерили, надо было сильно постараться. А в ОС всё осталось на месте и нормально работает.

А что касается темы-дорисуй коллбек руками, хоть в HIEW, формат простенький, делов минут на 10, заполнять-достаточно полей коллбека и AddressOfIndex.

| Сообщение посчитали полезным:

Hellspawn пишет:
ну понятно, цель протектор дальше разговор вести не о чем.
Ну почему же сразу не о чем? Это вполне себе параллельные цели, YAP никуда не денется со временем.
DrGolova спасибо!
Archer тебе кстати тоже спасибо ;) Просто хотел чтобы именно найти где-то такой файл или заставить компилер сгенерить, чтобы не получилось, что я сам тест написал и сам его проверял, а на деле он искуственный, ну да ладно, ок.

| Сообщение посчитали полезным: