Вобщем такое дело:
Я тестировал свой криптор, закриптовал третий пенч
и virustotal сказал мне:
CAT-QuickHeal 9.00 2007.09.10 (Suspicious) - DNAScan
Panda 9.0.0.4 2007.09.11 Suspicious file
Кто знает что это такое?

-----
iNTERNATiONAL CoDE CReW

| Сообщение посчитали полезным:

ну дык. Suspicious - подозрительный. Код закриптован - сталобыть подозрительный. Запакуй хелловордл и отправь на проверку - тож самое будет.

| Сообщение посчитали полезным:

А как от этого избавиться?
Мож они по энтропии палят...

-----
iNTERNATiONAL CoDE CReW

| Сообщение посчитали полезным:

никак если эвристический анализатор у антивируса включен

-----
Лень - это подсознательная мудрость

| Сообщение посчитали полезным:

согласен

| Сообщение посчитали полезным:

Panda 9.0.0.4 2007.09.11 Suspicious file

помоему она палит, если находит тчо-то подозрительное в ресурсах или оверлее..

CAT-QuickHeal 9.00 2007.09.10 (Suspicious) - DNAScan

а этот почти на всё так ругается даже на обычные пакеры...

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

я как то известного троя попротил со всеми опциями своим, кинул на виртотал - Mcafee точно определил, два в саспициях, остальные - nothing found

-----
"Пусть видят, что мы не шутим. Стволы для понта, ножи для дела" Lock, Stock & Two Smoking Barrels

| Сообщение посчитали полезным:

Spirit пишет:
Я тестировал свой криптор
А что за криптор? Это не тот случайно что у китайцев был? бросили голую тетку на форму и покрыли пепом они там неделю разбирались потом выяснили что он ксорит первые четыре байта

| Сообщение посчитали полезным:

pavka

Нет, хотя The Best Cryptor у меня тоже есть.
Я свой пишу. Со всякими фичами (тлс, антидебаг, оеп прот, есц.)
Хочу довести до того, чтобы под ним пенч не палилсо.

-----
iNTERNATiONAL CoDE CReW

| Сообщение посчитали полезным:

Spirit пишет:
Я свой пишу. Со всякими фичами (тлс, антидебаг, оеп прот, есц.)

ы))) достаточно пакером (например любым) пожать + внедрить волшебный код в нужно место и все
"чудо" антивири разом замолчат...

з.ы. Хорошо хоть проактивка есть
з.ы.ы. тока в паблик не выкладывай) а то опять повсюду гавнапинчеги будут...

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Hellspawn пишет:
внедрить волшебный код в нужно место
Не подскажешь, что за код? Можно в личку.

-----
iNTERNATiONAL CoDE CReW

| Сообщение посчитали полезным:

реверси антивири. или делись деньгами со всеми

-----
Недостаточно только получить знания:надо найти им приложение

| Сообщение посчитали полезным:

Spirit
CAT-QuickHeal 9.00 2007.09.10 (Suspicious) - DNAScan
Panda 9.0.0.4 2007.09.11 Suspicious file
Некоторых подозрительны из-за прав на секциях, их логичекого содержания (например крипт новую секцию в конец, после .rsrc файла добавляет), расположение таблицы импорта ну и других директорий, может быть и имена.

| Сообщение посчитали полезным:

Spirit пишет:
Я тестировал свой криптор, закриптовал третий пенч

VBA32 промолчал?

pavka пишет:
они там неделю разбирались потом выяснили что он ксорит первые четыре байта



| Сообщение посчитали полезным:

Gideon Vi пишет:
VBA32 промолчал
Огаога

-----
iNTERNATiONAL CoDE CReW

| Сообщение посчитали полезным:

Hellspawn
Ты мне опять соврал?

-----
iNTERNATiONAL CoDE CReW

| Сообщение посчитали полезным:

Spirit Ну как справился с Suspicious file ?

| Сообщение посчитали полезным:

Spirit пишет:
Ты мне опять соврал?

я не вру) запар с учёбой, некогда с антивирями колупаться, если скажешь для чего тебе этот криптор (который ты ща кодишь) то зава помогу)))

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

GlOFF
Еще нет.

Hellspawn
Мне этот криптор для:
1) В первую очередь для более глубокого изучения ПЕФормата.
2) Для изучения антиотладочных приемов
3) Для изучения "мощности сканирования" антивирусов (особенно аваста, т.к. я его сам юзаю.)
4) Для души, т.к. давно ничего не кодил.

-----
iNTERNATiONAL CoDE CReW

| Сообщение посчитали полезным:

Hellspawn пишет:
Panda 9.0.0.4 2007.09.11 Suspicious file
помоему она палит, если находит тчо-то подозрительное в ресурсах или оверлее..
CAT-QuickHeal 9.00 2007.09.10 (Suspicious) - DNAScan
а этот почти на всё так ругается даже на обычные пакеры...
Панда делает вывод пощитав энтропию + права секций на запись.
QuickHeal - приблезительно тоже самое

Hellspawn пишет:
ы))) достаточно пакером (например любым) пожать + внедрить волшебный код в нужно место и все
"чудо" антивири разом замолчат...

Волшебный код должен иметь обход эмуляторов, иначе толку не будет. + если у антивира все лоадеры пакеров в базах, если лоадер будет отличатся хоть на байт, он будет орать. Так что ""чудо" антивири разом замолчат" все точно не замолчат по такой методике. " пакером (например любым) пожать" пожми просто упаком и проскань

Spirit пишет:
3) Для изучения "мощности сканирования" антивирусов (особенно аваста, т.к. я его сам юзаю.)
Аваст говно! можеш не проверять "мощности сканирования".
Spirit
Выкладывай покриптованые файлы.

| Сообщение посчитали полезным:

WoLFeR пишет:
Выкладывай покриптованые файлы.
А тебе они зачем?

-----
iNTERNATiONAL CoDE CReW

| Сообщение посчитали полезным:

WoLFeR пишет:
пожми просто упаком и проскань

не, ну таким же)) с ним ав не дружат, есть куча других...

WoLFeR пишет:
Волшебный код должен иметь обход эмуляторов

ну дык, я не говорил что его там нету...

WoLFeR пишет:
Аваст говно! можеш не проверять "мощности сканирования".

зачем же так только аваст? почти фсе под эту линейку катят...

WoLFeR пишет:
Панда делает вывод пощитав энтропию + права секций на запись.

Это одни из многих признаков

WoLFeR пишет:
все точно не замолчат по такой методике

топ 10 будет тихо стоять ф сторонке

з.ы. будущее за проактивкой, больше никак...
з.ы.ы. или перекусывать провот с инетом

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Hellspawn пишет:
Это одни из многих признаков
Та какраз нет Это и есть 2 главных признака. Покрайней мере в 2006ой.

Hellspawn пишет:
з.ы. будущее за проактивкой, больше никак...
Будующее за эмуляцией, как не кричали что эмуляция не нужна, но в итоге без нее никуда.
А проактив ничем не поможет при заражениии а отсюда и автозагрузка и конекты и.т.д.

| Сообщение посчитали полезным:

WoLFeR пишет:
Та какраз нет Это и есть 2 главных признака. Покрайней мере в 2006ой.

хз, есть пара файлов котрые опровеграют это)))
(ещё теплый файл из компилера детектиться как подозрительный )

WoLFeR пишет:
Будующее за эмуляцией

та ну))) если тока ав превратиться в подобие вмвари но я себе это не представляю...

WoLFeR пишет:
А проактив ничем не поможет при заражениии

уху, оно просто не даст заразить ничего)))

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Hellspawn пишет:
уху, оно просто не даст заразить ничего)))
Ну это уже человеческий фактор, если у него из каждого процеса будут лезть подтверждения, то хоть да какоето но пропустит.

| Сообщение посчитали полезным:

Я вмешаюсь немного....
Думаю, не стоит так полагаться даже на проактивку.... наверняка большинство из вас и так знает, что и её достаточно просто обойти....
В свое время, когда я занимался как раз тестированием различных проактивных систем, ко мне в руки попала одна небезызвестная программа проактивной защиты нашего, российского производства.... дабы не делать рекламы, названия говорить не буду, лишь намекну, производитель имеет самое непосредственное отношение к одной комапнии, занимающейся защитой игр от копирования
Так вот.... Сама проактивная система была нерушима, стабильно работала, обойти её было нереально... До определенного момента...
В один из темных вечеров, от нечего делать, мною была сделана небольшая программулька, которая в обход даже самому жесточайшему уровню блокировки херила весь реестр системы, и систему было невозможно восстановить... да, проактивка честно сообщала что какой то процесс делает что-то там странное с реестром, и по идее должна была тормозить его, но, пока проактивка что-то там пыталась сделать, реестр был успешно захерен....
На сколько я знаю, моя программуля (лик тест), может обходить и текущую версию этой проктивки, что странно.....
Так что, мораль сей басни такова - что имея даже самую совеременную систему защиты и кривые руки, не поможет даже она....

-----
The blood swap....

| Сообщение посчитали полезным:

Johnson Finger пишет:
имея даже самую совеременную систему защиты и кривые руки

а чем прямые руки помогут защититься от такого файла? Запускать файлы только от знакомых по реалу, да ещё спрашивать у них подтверждения?

| Сообщение посчитали полезным:

Gideon Vi - прямые руки помогут для начала запускать файлы только из проверенных источников, потом помогут запускать их с минимальными правами, гостя к примеру, особо прямые руки сначала запустят это на вирт машине, и только потом пустят на настоящую....
Хотя конечно о чем я, один фиг, можно обойти все... .Если даже User Account Control (UAC) в Висте можно легко отрубить и тоже срать в системе....

-----
The blood swap....

| Сообщение посчитали полезным:

Hellspawn
Мне надоел пустой гон.
Давай по теме. Либо ты помогаешь, либо нет.
Я считаю, что я попросил не много. Если нет, то я закрваю нахрен этот топик и все.

-----
iNTERNATiONAL CoDE CReW

| Сообщение посчитали полезным:

мля всё готово почти =) чё за наезды? я те в личку всё кину
тут ничё выкладывать не буду

-----
[nice coder and reverser]

| Сообщение посчитали полезным: