В начале заметил, что мои проекты периодически на флешке определяются как вирус. В основном на компах где стоят всякие бесплатные антивирусы типа 360 Total Security. Вначале меня это не напрягало доставал файл из карантина и работал дальше. Потом стало интересно а почему детекты, что то не так в коде? Может я использую какие то опасные библиотеки или функции. Собрал пустой файл в Visual Studio 2015, где ничего нет кроме функции main, и выбрал библиотека выполнения Multi-Threaded (/MT), само собой чтобы, не требовалась установленная Visual Studio. И в итоге получил 11- 12 детектов на virustotal. Все антивирусы просто взбесились от этого файла. Это меня очень удивило. Попробовал всякие эксперименты с секциями . Если произвольно удалить или слить например секцию .reloс, то количество детектов снижается на 2 -3. В чем прикол? Откуда и по какой причине берутся детекты?

| Сообщение посчитали полезным:

zombi-vadim пишет:
Вот провел ради интереса эксперимент. Берем файл с цифровой подписью, например Skype.exe. заливаем какую нибудь секцию нулями, цифровая подпись становится не действительной. Заливаем на VT, 0 срабатываний. Отхерячиваем вообще подпись от файла. Заливаем на VT, 0 срабатываний.
Ну так может 'это косяк VT В базу вбили чтобы по 100 раз не сканировать один и тот же файл

-----
Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли.

| Сообщение посчитали полезным:

Так другой файл. Там первым делом чексумму проверяют.

| Сообщение посчитали полезным:

Вот ещё пишут на одном из форумов: "Антивирусы действуют по принципу того аббата, "Убивайте их всех. Господь узнает своих"©, если в коде программы есть обращение к сетевым функциям - значит троян. А подпись файла дело десятое."

| Сообщение посчитали полезным:

Я так понимаю толком никто не знает как настроить линковщик чтоб убрать все детекты?

| Сообщение посчитали полезным:

zombi-vadim пишет:
Я так понимаю толком никто не знает как настроить линковщик чтоб убрать все детекты?

) Толком этого не знают и в микрософте.



| Сообщение посчитали полезным:

zombi-vadim

Для этой цели давно изобрели крипторы

-----
vx

| Сообщение посчитали полезным:

если заливать на вт крипторы не спасут

Добавлено спустя -53 минут
https://www.virustotal.com/ru/file/6b478b8b5727701e5d22098c3cfe49532e13228e9f06575e1d401ded696f2fb4/analysis/1489425448/

| Сообщение посчитали полезным:

SDK

Я ранее линк привёл не просто так, там главное не какое то знание, а само понимание как эти вещи анализить, понимать. ВТ это отдельная тема, там стоят ханипоты и виртульные машины с ловушками.

-----
vx

| Сообщение посчитали полезным:

Показатель выявления: 6 / 58

пару минут назад было 4


Антивирус Результат Дата обновления
Avira (no cloud) TR/Crypt.XPACK.Gen 20170313
Comodo TrojWare.Win32.Trojan.XPACK.Gen 20170313
Endgame malicious (high confidence) 20170222
Invincea trojan.win32.swrort.a 20170203
Qihoo-360 HEUR/QVM20.1.0000.Malware.Gen 20170313
Rising Malware.Heuristic!ET#96% (rdm+) 20170313

а вот и сам файл достаточно было поменять имена секций добавить иконку и фразу пинч ) к простому хелоуворлду как стал по авире трояном покриптованым)))

29ea_13.03.2017_EXELAB.rU.tgz - test.exe

Добавлено спустя -57 минут
да и дерматолог наверно в шоке ))

| Сообщение посчитали полезным:

difexacaw

второй свиток вашего мануала требует пароль)
Ну а так от называния ikarus антивирусом вырвало, пароля не надо

| Сообщение посчитали полезным:

Demmo

vx дефолтный пасс всегда.

ikarus - как бы там ни было, он работает.

-----
vx

| Сообщение посчитали полезным:

Ладно буду продолжать эксперименты. Подскажите как мне заставить линковщик поменять секции местами? У меня по умолчанию идет вначале секция ресурсов, потом секция релоков. А надо наооборот.

| Сообщение посчитали полезным:

zombi-vadim
Используй UniLink, он генерит очень компактные бинарники.

Скачать (ftp):
ulnb0115.zip - UniLink Beta
ulhlp_en.zip - English Help
ulhlp_ru.zip - Russian Help

ftp:
ftp://ftp.styx.cabel.net/pub/UniLink/

-----
EnJoy!

| Сообщение посчитали полезным:

JupiterСпасибо конечно, но разве в студии нет возможности поменять секции местами??

| Сообщение посчитали полезным:

Есть опция объединения, можешь релоки слить с .const/.rdata:

/SECTION (Specify Section Attributes)
/MERGE (Combine Sections)

-----
EnJoy!

| Сообщение посчитали полезным:

Jupiter пишет:
Есть опция объединения Я знаю про эту опцию. А опции перемены секций местами нет? Или просто никто не знает?

| Сообщение посчитали полезным:

zombi-vadim

Ты хочешь местами менять или сделать секцию ресурсов последней?
Объединение релоков (.reloc) с данными (.rdata, .data, .idata) решает твою задачу.
Тебе шашечки или ехать?

-----
EnJoy!

| Сообщение посчитали полезным:

zombi-vadim

Наверно нельзя такое провернуть. Оно обычно и не нужно. Для загрузчика не имеет значения в каком порядке идут секции. Разрабы не хорошие такие, что не реализовали опций линкеру для обхода ав детектов

-----
vx

| Сообщение посчитали полезным:

Jupiter пишет:
Ты хочешь местами менять или сделать секцию ресурсов последней? Ну е мое я хочу местами менять!!
Вот смотрю "правильные файлы" там всегда сначало релок а потом ресурс..

| Сообщение посчитали полезным:

zombi-vadim
UniLink ты использовать не хочешь. Хотя это бы решило проблему.
Объединять секции не хочешь. И этоо тоже бы решило проблему.

Ну тогда копай файл проекта Visual Studio, смотри в настройках Custom Build Tools, Resource compiler, Linker, Manifest Tool.
Сохрани готовый манифест (.xml) и используй его, указывая явно, а не генерируя на ходу.
Тут хз, почему у тебя другой порядок секций.

-----
EnJoy!

| Сообщение посчитали полезным:

Jupiter пишет:
Используй UniLink, он генерит очень компактные бинарники.

Большой разницы не заметил по сравнению с линкером из VS2015(с флагами).

| Сообщение посчитали полезным:

Diabolic
А какую разницу ты ожидал?

-----
EnJoy!

| Сообщение посчитали полезным:

Jupiter пишет:
А какую разницу ты ожидал?

Jupiter пишет:
Используй UniLink, он генерит очень компактные бинарники.

Здравствуйте.
Тут наверное ещё такой фактор как - относительность.
Вы относительно какого компоновщика компактность бинарных файлов скомпонованных UniLink-ом рассматривали?

| Сообщение посчитали полезным:

Diabolic пишет:
относительно какого компоновщика
Относительно MS Link.

Сравниваем то мы одни и те же продукты.
Ты написал про "Большой разницы не заметил", вот я и поинтересовался, а какой конкретно разницы ты ожидал. Это же не пакер, а линкер.

-----
EnJoy!

| Сообщение посчитали полезным:

Jupiter пишет:
Ты написал про "Большой разницы не заметил", вот я и поинтересовался, а какой конкретно разницы ты ожидал.

Более "компактной", так как вы его советовали автору топика.

Если относительно MS линкера, то большой разницы к сожалению не увидел, как и писал выше.

| Сообщение посчитали полезным:

Diabolic
ОК, задам вопрос иначе: разница есть? Если есть, то какая?

-----
EnJoy!

| Сообщение посчитали полезным:

Jupiter пишет:
ОК, задам вопрос иначе: разница есть? Если есть, то какая?

Я вам уже отвечал, что большой разницы не заметил в "компактности".

| Сообщение посчитали полезным:

Diabolic пишет: Я вам уже отвечал, что большой разницы не заметил в "компактности".

Наверное потому что UniLink не добавляет отсебятины, соберите программу древним билдером использую его родной линкер, а после соберите с UniLink, увидите разницу.

| Сообщение посчитали полезным:

shellstorm пишет:
соберите программу древним билдером использую его родной линкер

Здравствуйте.
Можно с этого места поподробнее?!

| Сообщение посчитали полезным:

Утеря смысла.

-----
vx

| Сообщение посчитали полезным: