Посл.ответ |
Сообщение |
Ранг: 16.3 (новичок), 2thx Активность: 0.15↗0.22 Статус: Участник
|
Создано: 12 марта 2017 00:21 · Личное сообщение · #1
В начале заметил, что мои проекты периодически на флешке определяются как вирус. В основном на компах где стоят всякие бесплатные антивирусы типа 360 Total Security. Вначале меня это не напрягало доставал файл из карантина и работал дальше. Потом стало интересно а почему детекты, что то не так в коде? Может я использую какие то опасные библиотеки или функции. Собрал пустой файл в Visual Studio 2015, где ничего нет кроме функции main, и выбрал библиотека выполнения Multi-Threaded (/MT), само собой чтобы, не требовалась установленная Visual Studio. И в итоге получил 11- 12 детектов на virustotal. Все антивирусы просто взбесились от этого файла. Это меня очень удивило. Попробовал всякие эксперименты с секциями . Если произвольно удалить или слить например секцию .reloс, то количество детектов снижается на 2 -3. В чем прикол? Откуда и по какой причине берутся детекты?
| Сообщение посчитали полезным: |
|
Ранг: 568.2 (!), 464thx Активность: 0.55↗0.57 Статус: Участник оптимист
|
Создано: 13 марта 2017 01:24 · Личное сообщение · #2
zombi-vadim пишет: Вот провел ради интереса эксперимент. Берем файл с цифровой подписью, например Skype.exe. заливаем какую нибудь секцию нулями, цифровая подпись становится не действительной. Заливаем на VT, 0 срабатываний. Отхерячиваем вообще подпись от файла. Заливаем на VT, 0 срабатываний. Ну так может 'это косяк VT В базу вбили чтобы по 100 раз не сканировать один и тот же файл
----- Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли. | Сообщение посчитали полезным: |
Ранг: 431.7 (мудрец), 390thx Активность: 0.73↘0.32 Статус: Участник
|
Создано: 13 марта 2017 01:57 · Личное сообщение · #3
Так другой файл. Там первым делом чексумму проверяют.
| Сообщение посчитали полезным: |
Ранг: 21.5 (новичок), 9thx Активность: 0.02↘0 Статус: Участник
|
Создано: 13 марта 2017 13:04 · Личное сообщение · #4
Вот ещё пишут на одном из форумов: "Антивирусы действуют по принципу того аббата, "Убивайте их всех. Господь узнает своих"©, если в коде программы есть обращение к сетевым функциям - значит троян. А подпись файла дело десятое."
| Сообщение посчитали полезным: |
Ранг: 16.3 (новичок), 2thx Активность: 0.15↗0.22 Статус: Участник
|
Создано: 13 марта 2017 20:37 · Личное сообщение · #5
Я так понимаю толком никто не знает как настроить линковщик чтоб убрать все детекты?
| Сообщение посчитали полезным: |
Ранг: 431.7 (мудрец), 390thx Активность: 0.73↘0.32 Статус: Участник
|
Создано: 13 марта 2017 20:39 · Поправил: dosprog · Личное сообщение · #6
zombi-vadim пишет: Я так понимаю толком никто не знает как настроить линковщик чтоб убрать все детекты? ) Толком этого не знают и в микрософте.
| Сообщение посчитали полезным: |
Ранг: 337.5 (мудрец), 348thx Активность: 2.11↗2.42 Статус: Участник
|
Создано: 13 марта 2017 20:54 · Личное сообщение · #7
zombi-vadimДля этой цели давно изобрели крипторы
----- vx | Сообщение посчитали полезным: |
Ранг: 54.0 (постоянный), 49thx Активность: 0.72↗1.1 Статус: Участник
|
Создано: 13 марта 2017 21:20 · Личное сообщение · #8
если заливать на вт крипторы не спасут Добавлено спустя -53 минутhttps://www.virustotal.com/ru/file/6b478b8b5727701e5d22098c3cfe49532e13228e9f06575e1d401ded696f2fb4/analysis/1489425448/
| Сообщение посчитали полезным: |
Ранг: 337.5 (мудрец), 348thx Активность: 2.11↗2.42 Статус: Участник
|
Создано: 13 марта 2017 21:33 · Личное сообщение · #9
SDKЯ ранее линк привёл не просто так, там главное не какое то знание, а само понимание как эти вещи анализить, понимать. ВТ это отдельная тема, там стоят ханипоты и виртульные машины с ловушками.
----- vx | Сообщение посчитали полезным: |
Ранг: 54.0 (постоянный), 49thx Активность: 0.72↗1.1 Статус: Участник
|
Создано: 13 марта 2017 21:34 · Личное сообщение · #10
Показатель выявления: 6 / 58 пару минут назад было 4 Антивирус Результат Дата обновления Avira (no cloud) TR/Crypt.XPACK.Gen 20170313 Comodo TrojWare.Win32.Trojan.XPACK.Gen 20170313 Endgame malicious (high confidence) 20170222 Invincea trojan.win32.swrort.a 20170203 Qihoo-360 HEUR/QVM20.1.0000.Malware.Gen 20170313 Rising Malware.Heuristic!ET#96% (rdm+) 20170313 а вот и сам файл достаточно было поменять имена секций добавить иконку и фразу пинч ) к простому хелоуворлду как стал по авире трояном покриптованым))) 29ea_13.03.2017_EXELAB.rU.tgz - test.exe Добавлено спустя -57 минутда и дерматолог наверно в шоке ))
| Сообщение посчитали полезным: |
Ранг: 0.7 (гость) Активность: 0=0 Статус: Участник
|
Создано: 13 марта 2017 21:58 · Личное сообщение · #11
difexacawвторой свиток вашего мануала требует пароль) Ну а так от называния ikarus антивирусом вырвало , пароля не надо
| Сообщение посчитали полезным: |
Ранг: 337.5 (мудрец), 348thx Активность: 2.11↗2.42 Статус: Участник
|
Создано: 13 марта 2017 22:47 · Поправил: difexacaw · Личное сообщение · #12
Demmovx дефолтный пасс всегда. ikarus - как бы там ни было, он работает.
----- vx | Сообщение посчитали полезным: |
Ранг: 16.3 (новичок), 2thx Активность: 0.15↗0.22 Статус: Участник
|
Создано: 14 марта 2017 20:30 · Личное сообщение · #13
Ладно буду продолжать эксперименты. Подскажите как мне заставить линковщик поменять секции местами? У меня по умолчанию идет вначале секция ресурсов, потом секция релоков. А надо наооборот.
| Сообщение посчитали полезным: |
Ранг: 605.2 (!), 341thx Активность: 0.47↘0.25 Статус: Модератор Research & Development
|
Создано: 14 марта 2017 22:40 · Личное сообщение · #14 |
Ранг: 16.3 (новичок), 2thx Активность: 0.15↗0.22 Статус: Участник
|
Создано: 14 марта 2017 22:51 · Поправил: zombi-vadim · Личное сообщение · #15
JupiterСпасибо конечно, но разве в студии нет возможности поменять секции местами??
| Сообщение посчитали полезным: |
Ранг: 605.2 (!), 341thx Активность: 0.47↘0.25 Статус: Модератор Research & Development
|
Создано: 14 марта 2017 23:36 · Личное сообщение · #16 |
Ранг: 16.3 (новичок), 2thx Активность: 0.15↗0.22 Статус: Участник
|
Создано: 15 марта 2017 21:23 · Личное сообщение · #17
Jupiter пишет: Есть опция объединения Я знаю про эту опцию. А опции перемены секций местами нет? Или просто никто не знает?
| Сообщение посчитали полезным: |
Ранг: 605.2 (!), 341thx Активность: 0.47↘0.25 Статус: Модератор Research & Development
|
Создано: 15 марта 2017 21:51 · Личное сообщение · #18
zombi-vadimТы хочешь местами менять или сделать секцию ресурсов последней? Объединение релоков (.reloc) с данными (.rdata, .data, .idata) решает твою задачу. Тебе шашечки или ехать?
----- EnJoy! | Сообщение посчитали полезным: |
Ранг: 337.5 (мудрец), 348thx Активность: 2.11↗2.42 Статус: Участник
|
Создано: 15 марта 2017 22:17 · Личное сообщение · #19
zombi-vadimНаверно нельзя такое провернуть. Оно обычно и не нужно. Для загрузчика не имеет значения в каком порядке идут секции. Разрабы не хорошие такие, что не реализовали опций линкеру для обхода ав детектов
----- vx | Сообщение посчитали полезным: |
Ранг: 16.3 (новичок), 2thx Активность: 0.15↗0.22 Статус: Участник
|
Создано: 16 марта 2017 00:53 · Поправил: zombi-vadim · Личное сообщение · #20
Jupiter пишет: Ты хочешь местами менять или сделать секцию ресурсов последней? Ну е мое я хочу местами менять!! Вот смотрю "правильные файлы" там всегда сначало релок а потом ресурс..
| Сообщение посчитали полезным: |
Ранг: 605.2 (!), 341thx Активность: 0.47↘0.25 Статус: Модератор Research & Development
|
Создано: 16 марта 2017 01:57 · Личное сообщение · #21
zombi-vadimUniLink ты использовать не хочешь. Хотя это бы решило проблему. Объединять секции не хочешь. И этоо тоже бы решило проблему. Ну тогда копай файл проекта Visual Studio, смотри в настройках Custom Build Tools, Resource compiler, Linker, Manifest Tool. Сохрани готовый манифест (.xml) и используй его, указывая явно, а не генерируя на ходу. Тут хз, почему у тебя другой порядок секций.
----- EnJoy! | Сообщение посчитали полезным: |
Ранг: 11.5 (новичок), 1thx Активность: 0.01↘0 Статус: Участник
|
Создано: 16 марта 2017 02:26 · Личное сообщение · #22
Jupiter пишет: Используй UniLink, он генерит очень компактные бинарники. Большой разницы не заметил по сравнению с линкером из VS2015(с флагами).
| Сообщение посчитали полезным: |
Ранг: 605.2 (!), 341thx Активность: 0.47↘0.25 Статус: Модератор Research & Development
|
Создано: 16 марта 2017 03:50 · Личное сообщение · #23
DiabolicА какую разницу ты ожидал?
----- EnJoy! | Сообщение посчитали полезным: |
Ранг: 11.5 (новичок), 1thx Активность: 0.01↘0 Статус: Участник
|
Создано: 16 марта 2017 04:12 · Поправил: Diabolic · Личное сообщение · #24
Jupiter пишет: А какую разницу ты ожидал? Jupiter пишет: Используй UniLink, он генерит очень компактные бинарники. Здравствуйте. Тут наверное ещё такой фактор как - относительность. Вы относительно какого компоновщика компактность бинарных файлов скомпонованных UniLink-ом рассматривали?
| Сообщение посчитали полезным: |
Ранг: 605.2 (!), 341thx Активность: 0.47↘0.25 Статус: Модератор Research & Development
|
Создано: 16 марта 2017 10:25 · Личное сообщение · #25
Diabolic пишет: относительно какого компоновщика Относительно MS Link. Сравниваем то мы одни и те же продукты. Ты написал про " Большой разницы не заметил", вот я и поинтересовался, а какой конкретно разницы ты ожидал. Это же не пакер, а линкер.
----- EnJoy! | Сообщение посчитали полезным: |
Ранг: 11.5 (новичок), 1thx Активность: 0.01↘0 Статус: Участник
|
Создано: 16 марта 2017 13:43 · Поправил: Diabolic · Личное сообщение · #26
Jupiter пишет: Ты написал про "Большой разницы не заметил", вот я и поинтересовался, а какой конкретно разницы ты ожидал. Более "компактной", так как вы его советовали автору топика. Если относительно MS линкера, то большой разницы к сожалению не увидел, как и писал выше.
| Сообщение посчитали полезным: |
Ранг: 605.2 (!), 341thx Активность: 0.47↘0.25 Статус: Модератор Research & Development
|
Создано: 16 марта 2017 17:35 · Личное сообщение · #27
DiabolicОК, задам вопрос иначе: разница есть? Если есть, то какая?
----- EnJoy! | Сообщение посчитали полезным: |
Ранг: 11.5 (новичок), 1thx Активность: 0.01↘0 Статус: Участник
|
Создано: 16 марта 2017 17:47 · Личное сообщение · #28
Jupiter пишет: ОК, задам вопрос иначе: разница есть? Если есть, то какая? Я вам уже отвечал, что большой разницы не заметил в "компактности".
| Сообщение посчитали полезным: |
Ранг: -0.7 (гость), 170thx Активность: 0.54↘0 Статус: Участник
|
Создано: 16 марта 2017 19:38 · Личное сообщение · #29
Diabolic пишет: Я вам уже отвечал, что большой разницы не заметил в "компактности". Наверное потому что UniLink не добавляет отсебятины, соберите программу древним билдером использую его родной линкер, а после соберите с UniLink, увидите разницу.
| Сообщение посчитали полезным: |
Ранг: 11.5 (новичок), 1thx Активность: 0.01↘0 Статус: Участник
|
Создано: 16 марта 2017 20:08 · Поправил: Diabolic · Личное сообщение · #30
shellstorm пишет: соберите программу древним билдером использую его родной линкер Здравствуйте. Можно с этого места поподробнее?!
| Сообщение посчитали полезным: |
Ранг: 337.5 (мудрец), 348thx Активность: 2.11↗2.42 Статус: Участник
|
Создано: 16 марта 2017 22:18 · Личное сообщение · #31
Утеря смысла.
----- vx | Сообщение посчитали полезным: |