В начале заметил, что мои проекты периодически на флешке определяются как вирус. В основном на компах где стоят всякие бесплатные антивирусы типа 360 Total Security. Вначале меня это не напрягало доставал файл из карантина и работал дальше. Потом стало интересно а почему детекты, что то не так в коде? Может я использую какие то опасные библиотеки или функции. Собрал пустой файл в Visual Studio 2015, где ничего нет кроме функции main, и выбрал библиотека выполнения Multi-Threaded (/MT), само собой чтобы, не требовалась установленная Visual Studio. И в итоге получил 11- 12 детектов на virustotal. Все антивирусы просто взбесились от этого файла. Это меня очень удивило. Попробовал всякие эксперименты с секциями . Если произвольно удалить или слить например секцию .reloс, то количество детектов снижается на 2 -3. В чем прикол? Откуда и по какой причине берутся детекты?

| Сообщение посчитали полезным:

Diabolic пишет: Можно с этого места поподробнее?!

Добавляет служебную информацию и без содомии нельзя собрать драйвер. Можете найти БДСМ статью ms-rem со сборкой делфи драйвера, статья применима и к билдеру.

| Сообщение посчитали полезным:

Jupiter пишет:
Используй UniLink, он генерит очень компактные бинарники.
С jwlink и polink тоже компактно, иногда даже ещё компактней. Но это только в контексте ассемблера masm32, как с другими языками, хз.

p.s. Чёто на UniLink, вирусня больше ругается. Пример по нарастающей:
jwlink: --> Link <--
polink: --> Link <--
ulink: --> Link <--

Хотя это, конечно ерунда - бывает иконку или лого в патче поменяешь и ругани почти или вообще нет, что хорошо характеризует эти "детекты".
В UniLink не нравится другое - если используется gdiplus (возможно, и с какими другими библами так же), то exe собранный в Win 8.1 x64, выдаёт ошибку при запуске на XP. Если компилять в XP, то ошибки нет.
Лажа, имхо. C polink, jwlink или ms link пофиг, под какой осью собиралось, работает ровно везде.

p.s. По-видимому ошибка из-за того, что при сборке в 8.1 в импорт лишняя хрень лепится: --> Link <--

| Сообщение посчитали полезным:

elch пишет:
В UniLink не нравится другое

сообщать об этом автору я, конечно же, не буду?

| Сообщение посчитали полезным:

Эвристика - это та ещё шляпа. Причем разные антивирусы ведут себя по-разному. К примеру, если файл априори не исполняемый (не PE/ELF-заголовок и т.д.), то некоторые вещи автоматом перестают детектиться.

А что детектится сигнатурным анализом, можно локализовать, комментируя в исходниках/забивая нулями в hex-редакторе большие куски секции кода.

С эвристикой иногда приходится заебаться, но до сих пор есть простые приемы, даже описанные много времени назад (или нигде не описанные), которые позволяют почти забить на большинство современных антивирусов.

Например, была раньше интересная штука. Интересно, работает ли до сих пор.

https://exelab.ru/f/action=vthread&forum=7&topic=22241&page=0

-----
Харе курить веники и нюхать клей, к вам едет из Америки бог Шива, и он еврей.

| Сообщение посчитали полезным:

Crawler

> Например, была раньше интересная штука.

Есть методы, можно реализовать софтверный анклав. Тогда удалённое чтение памяти невозможно(она существует лишь для ридера, событие чтения памяти которого доступно для обработки).

Ну а эвристик это просто ошибка в понимании терминов, как я выше и говорил. Эвристики нет без эмуляции, тоесть без исполнения кода. Соответственно без исполнения кода детект - не эвристик.

Кряклаб переплавляется в виксы, это хорошо, ибо надоели денувы и нужно что то новое интересное

-----
vx

| Сообщение посчитали полезным:

Crawler пишет: что детектится сигнатурным анализом

все так радужно если у антивируса нет облачного сервиса, а если есть, все становится на порядке сложнее, стоит локальному движку заподозрить какую то нездоровую хрень, он начнет стучать в облако, а там ваш пинч попадет под зоркое око нейросетки и прочих регрессий, и в большинстве случаев итоговый результат будет не в пользу пинча. антивирусы статистику как бы не просто так собирают.

| Сообщение посчитали полезным:

shellstorm

Тоесть вы хотите сказать что один какой то семпл влияет на всю сеть ав и тоесть на все дальнейшие детекты ?

Механизм сего конечно же вами не рассматривается.

Тогда можно запутать такую сеть или как вы называете облако".

-----
vx

| Сообщение посчитали полезным:

difexacaw пишет: Тоесть вы хотите сказать что один какой то семпл влияет на всю сеть ав и тоесть на все дальнейшие детекты ?

Один семпл ни на что не влияет, обучение идет на терабайтах данных.

difexacaw пишет:Механизм сего конечно же вами не рассматривается.

Конкретные реализации нет, не рассматриваются, а общих в гугле чуть больше чем много.
Это не только в антивирусных компаниях используется, это начало использоваться еще в банках (credit risk management), когда антивирусы кроме сигнатур ничего не имели.
Несколько статей для ключевых слов, далее по ним можно найти кучу материалов по данной тематике.
--> Link <--
--> Link <--
К этому еще можно добавить белые данные, обучение на заведомо чистых семплах, эта часть дает артефакты на неизвестные компиляторы и линкеры, код отличается от стандартного.

| Сообщение посчитали полезным: difexacaw

shellstorm

Вы отвечаете спустя весьма длительный интервал, когда хоть абстракция сформировалась и можно вернуться, но само знание(воспоминание) утеряно. Вот мне придётся перечитать топик.

> Один семпл ни на что не влияет, обучение идет на терабайтах данных.

При тестах каспера он вёл себя странно. Детекты казалось сбиваются намеренно на всех 6-ти бесплатных сервисах. Тоесть тестим семпл раза три и после этого сигнатура отклоняется - детекта нет(тесты выполнялись для чтения памяти вм). Вероятно это всё из за того самого облачного детекта. Хотя так же вероятно что это сделано намеренно, но сказали что на платных сервисах такого поведения нет(не достоверная инфа).

> Несколько статей для ключевых слов, далее по ним можно найти кучу материалов по данной тематике.

Спасибо большое за ссылки, но у меня нет желания или потребности в знаниях(что я там не знаю ?). Так же и времени не особо много. По теме детектов.

Не помню вылаживал док или нет.


c1c9_01.04.2017_EXELAB.rU.tgz - VMA.pdf

-----
vx

| Сообщение посчитали полезным: shellstorm

difexacaw пишет: Вы отвечаете спустя весьма длительный интервал

Форум несколько дней не открывался, по всей видимости и уже традиционно лежал.

difexacaw пишет: но сказали что на платных сервисах такого поведения нет(не достоверная инфа).

На платных сервисах облако не работает, сеть намерено отрезают, чтобы семпел не ушел за пределы песочницы, а отключается сеть или нет, это уже на совести владельцев сервиса.

difexacaw пишет:При тестах каспера он вёл себя странно

Давно его не смотрел, возможно ведет статистику сканирования и прогоны эмулятора, дабы можно было проверить слепки состояний, первая проверка, повторная, рандомная проверка (регрессия, тем более у kav давно имеется данный компонент).

difexacaw пишет: По теме детектов

Там не сами детекты как таковые, а алгоритмы, они применимы от анализа звука, видео, текста, до анализа исполняемых файлов или каких то поведенческих паттернов, недавно выкидывали доку с частичным решением вырождения нейросетки. В целом тема интересная и если есть нормальная видеокарта, как минимум с поддержкой cuda то можно дома поиграться.

| Сообщение посчитали полезным:

Если эта тема еще кого то интересует. Прочитал много материала про правильность расположения секций, абсолютно честный код и тд. Все это бред. Я исключил из своего файла все что возможно. Отключил CRT, в итоге получил на virustotal 0 детектов от месадж бокс. Всего две секции осталось. нет ресурсов, манифеста, версии. Добавляем иконку в проект - 0 детектов, добавляем другую - два детекта! По моему там какой то генератор срабатываний, если что то действительно найдено то результат в тему, если нет то бредовый детект.

| Сообщение посчитали полезным:

zombi-vadim

У факав детекты зависят от фазы луны, так что не удивляйтесь.

-----
vx

| Сообщение посчитали полезным:

Если этот баг , то он врят ли будет исправлен из-за крайне низкого приоритета и необходимости.

| Сообщение посчитали полезным:

difexacaw пишет:
У факав детекты зависят от фазы луны, так что не удивляйтесь. Мне просто не понятно, как у пользователей установивших данный "ПРОДУКТ" не удаляется примерно 50 - 70 процентов файлов, в связи с такой замечательной эвристикой, влияющей на иконки???
P.S или такая эвристика только на VT?

| Сообщение посчитали полезным:

Abraham пишет: или такая эвристика только на VT?

предлагаете гадать без семпла и ссылки на VT?

| Сообщение посчитали полезным:

zombi-vadim

> P.S или такая эвристика только на VT?

Похожая ситуация была с чтением памяти ав(в среде вм - во время эмуляции). Можно прочитать память ав по условию детекта, тоесть имеем однозначный факт детекта. Тогда через этот факт может быть проверено условие, можно узнать что какое то значение переменной больше или меньше опред. значения. Тогда через серию итераций сдвиг-сравнение переменной можно узнать её значение. Практически же генерится серия семплов, каждый из которых отличается на константу в условной конструкции.

Оказалось что поведение некоторых ав(KAV) спонтанно, условие срабатывает произвольным образом. И не только на VT, причём на платных сервисах такого не наблюдалось. Причина не известна. Это или ошибка(что маловероятно) или намеренно введённая рандомизация.

-----
vx

| Сообщение посчитали полезным:

shellstorm ,вы перепутали автора.

| Сообщение посчитали полезным:

Abraham пишет: shellstorm ,вы перепутали автора.

сорри, но это не я, а форумный говнодвиг, цитировал зомбу, а ник вставился ваш.

| Сообщение посчитали полезным: