Русский / Russian English / Английский

Сейчас на форуме: _MBK_
 · Начало · Статистика · Регистрация · Поиск · ПРАВИЛА ФОРУМА · Язык · RSS ·

 eXeL@B —› Крэки, обсуждения —› Тест криптора
. 1 . 2 . >>
Посл.ответ Сообщение


Ранг: 271.6 (наставник)
Статус: Участник

Создано: 11 сентября 2007 11:19 New!
Цитата · Личное сообщение · #1

Вобщем такое дело:
Я тестировал свой криптор, закриптовал третий пенч
и virustotal сказал мне:
CAT-QuickHeal 9.00 2007.09.10 (Suspicious) - DNAScan
Panda 9.0.0.4 2007.09.11 Suspicious file
Кто знает что это такое?


Ранг: 1288.1 (!!!!)
Статус: Участник

Создано: 11 сентября 2007 11:22 New!
Цитата · Личное сообщение · #2

ну дык. Suspicious - подозрительный. Код закриптован - сталобыть подозрительный. Запакуй хелловордл и отправь на проверку - тож самое будет.


Ранг: 271.6 (наставник)
Статус: Участник

Создано: 11 сентября 2007 11:23 New!
Цитата · Личное сообщение · #3

А как от этого избавиться?
Мож они по энтропии палят...


Ранг: 247.7 (наставник)
Статус: Участник
Халявщик

Создано: 11 сентября 2007 11:38 New!
Цитата · Личное сообщение · #4

никак если эвристический анализатор у антивируса включен


Ранг: 105.9 (ветеран)
Статус: Участник

Создано: 11 сентября 2007 11:40 · Поправил: seeq New!
Цитата · Личное сообщение · #5

согласен


Ранг: 990.3 (! ! !)
Статус: Модератор
Author of DiE

Создано: 11 сентября 2007 12:30 New!
Цитата · Личное сообщение · #6

Panda 9.0.0.4 2007.09.11 Suspicious file

помоему она палит, если находит тчо-то подозрительное в ресурсах или оверлее..

CAT-QuickHeal 9.00 2007.09.10 (Suspicious) - DNAScan

а этот почти на всё так ругается даже на обычные пакеры...


Ранг: 500.5 (!)
Статус: Участник

Создано: 11 сентября 2007 12:43 New!
Цитата · Личное сообщение · #7

я как то известного троя попротил со всеми опциями своим, кинул на виртотал - Mcafee точно определил, два в саспициях, остальные - nothing found

Ранг: 1045.7 (!!!!)
Статус: Участник

Создано: 11 сентября 2007 13:13 New!
Цитата · Личное сообщение · #8

Spirit пишет:
Я тестировал свой криптор

А что за криптор? Это не тот случайно что у китайцев был? бросили голую тетку на форму и покрыли пепом они там неделю разбирались потом выяснили что он ксорит первые четыре байта


Ранг: 271.6 (наставник)
Статус: Участник

Создано: 11 сентября 2007 15:07 New!
Цитата · Личное сообщение · #9

pavka

Нет, хотя The Best Cryptor у меня тоже есть.
Я свой пишу. Со всякими фичами (тлс, антидебаг, оеп прот, есц.)
Хочу довести до того, чтобы под ним пенч не палилсо.


Ранг: 990.3 (! ! !)
Статус: Модератор
Author of DiE

Создано: 11 сентября 2007 15:10 · Поправил: Hellspawn New!
Цитата · Личное сообщение · #10

Spirit пишет:
Я свой пишу. Со всякими фичами (тлс, антидебаг, оеп прот, есц.)


ы))) достаточно пакером (например любым) пожать + внедрить волшебный код в нужно место и все
"чудо" антивири разом замолчат...

з.ы. Хорошо хоть проактивка есть
з.ы.ы. тока в паблик не выкладывай) а то опять повсюду гавнапинчеги будут...


Ранг: 271.6 (наставник)
Статус: Участник

Создано: 11 сентября 2007 15:16 New!
Цитата · Личное сообщение · #11

Hellspawn пишет:
внедрить волшебный код в нужно место

Не подскажешь, что за код? Можно в личку.


Ранг: 260.9 (наставник)
Статус: Участник
John Smith

Создано: 11 сентября 2007 21:04 New!
Цитата · Личное сообщение · #12

реверси антивири. или делись деньгами со всеми

Ранг: 51.7 (постоянный)
Статус: Участник

Создано: 12 сентября 2007 00:59 New!
Цитата · Личное сообщение · #13

Spirit
CAT-QuickHeal 9.00 2007.09.10 (Suspicious) - DNAScan
Panda 9.0.0.4 2007.09.11 Suspicious file

Некоторых подозрительны из-за прав на секциях, их логичекого содержания (например крипт новую секцию в конец, после .rsrc файла добавляет), расположение таблицы импорта ну и других директорий, может быть и имена.


Ранг: 1122.0 (!!!!)
Статус: Участник

Создано: 12 сентября 2007 02:05 New!
Цитата · Личное сообщение · #14

Spirit пишет:
Я тестировал свой криптор, закриптовал третий пенч


VBA32 промолчал?

pavka пишет:
они там неделю разбирались потом выяснили что он ксорит первые четыре байта




Ранг: 271.6 (наставник)
Статус: Участник

Создано: 12 сентября 2007 20:07 New!
Цитата · Личное сообщение · #15

Gideon Vi пишет:
VBA32 промолчал

Огаога


Ранг: 271.6 (наставник)
Статус: Участник

Создано: 12 сентября 2007 20:11 New!
Цитата · Личное сообщение · #16

Hellspawn
Ты мне опять соврал?

Ранг: 51.7 (постоянный)
Статус: Участник

Создано: 12 сентября 2007 21:20 New!
Цитата · Личное сообщение · #17

Spirit Ну как справился с Suspicious file ?


Ранг: 990.3 (! ! !)
Статус: Модератор
Author of DiE

Создано: 12 сентября 2007 22:45 New!
Цитата · Личное сообщение · #18

Spirit пишет:
Ты мне опять соврал?


я не вру) запар с учёбой, некогда с антивирями колупаться, если скажешь для чего тебе этот криптор (который ты ща кодишь) то зава помогу)))


Ранг: 271.6 (наставник)
Статус: Участник

Создано: 13 сентября 2007 18:27 New!
Цитата · Личное сообщение · #19

GlOFF
Еще нет.

Hellspawn
Мне этот криптор для:
1) В первую очередь для более глубокого изучения ПЕФормата.
2) Для изучения антиотладочных приемов
3) Для изучения "мощности сканирования" антивирусов (особенно аваста, т.к. я его сам юзаю.)
4) Для души, т.к. давно ничего не кодил.

Ранг: 74.4 (постоянный)
Статус: Участник

Создано: 13 сентября 2007 18:52 · Поправил: WoLFeR New!
Цитата · Личное сообщение · #20

Hellspawn пишет:
Panda 9.0.0.4 2007.09.11 Suspicious file
помоему она палит, если находит тчо-то подозрительное в ресурсах или оверлее..
CAT-QuickHeal 9.00 2007.09.10 (Suspicious) - DNAScan
а этот почти на всё так ругается даже на обычные пакеры...

Панда делает вывод пощитав энтропию + права секций на запись.
QuickHeal - приблезительно тоже самое

Hellspawn пишет:
ы))) достаточно пакером (например любым) пожать + внедрить волшебный код в нужно место и все
"чудо" антивири разом замолчат...


Волшебный код должен иметь обход эмуляторов, иначе толку не будет. + если у антивира все лоадеры пакеров в базах, если лоадер будет отличатся хоть на байт, он будет орать. Так что ""чудо" антивири разом замолчат" все точно не замолчат по такой методике. " пакером (например любым) пожать" пожми просто упаком и проскань

Spirit пишет:
3) Для изучения "мощности сканирования" антивирусов (особенно аваста, т.к. я его сам юзаю.)

Аваст говно! можеш не проверять "мощности сканирования".
Spirit
Выкладывай покриптованые файлы.


Ранг: 271.6 (наставник)
Статус: Участник

Создано: 13 сентября 2007 19:00 New!
Цитата · Личное сообщение · #21

WoLFeR пишет:
Выкладывай покриптованые файлы.

А тебе они зачем?


Ранг: 990.3 (! ! !)
Статус: Модератор
Author of DiE

Создано: 13 сентября 2007 19:33 · Поправил: Hellspawn New!
Цитата · Личное сообщение · #22

WoLFeR пишет:
пожми просто упаком и проскань


не, ну таким же)) с ним ав не дружат, есть куча других...

WoLFeR пишет:
Волшебный код должен иметь обход эмуляторов


ну дык, я не говорил что его там нету...

WoLFeR пишет:
Аваст говно! можеш не проверять "мощности сканирования".


зачем же так только аваст? почти фсе под эту линейку катят...

WoLFeR пишет:
Панда делает вывод пощитав энтропию + права секций на запись.


Это одни из многих признаков

WoLFeR пишет:
все точно не замолчат по такой методике


топ 10 будет тихо стоять ф сторонке

з.ы. будущее за проактивкой, больше никак...
з.ы.ы. или перекусывать провот с инетом

Ранг: 74.4 (постоянный)
Статус: Участник

Создано: 13 сентября 2007 19:50 · Поправил: WoLFeR New!
Цитата · Личное сообщение · #23

Hellspawn пишет:
Это одни из многих признаков

Та какраз нет Это и есть 2 главных признака. Покрайней мере в 2006ой.

Hellspawn пишет:
з.ы. будущее за проактивкой, больше никак...

Будующее за эмуляцией, как не кричали что эмуляция не нужна, но в итоге без нее никуда.
А проактив ничем не поможет при заражениии а отсюда и автозагрузка и конекты и.т.д.


Ранг: 990.3 (! ! !)
Статус: Модератор
Author of DiE

Создано: 13 сентября 2007 20:33 · Поправил: Hellspawn New!
Цитата · Личное сообщение · #24

WoLFeR пишет:
Та какраз нет Это и есть 2 главных признака. Покрайней мере в 2006ой.


хз, есть пара файлов котрые опровеграют это)))
(ещё теплый файл из компилера детектиться как подозрительный )

WoLFeR пишет:
Будующее за эмуляцией


та ну))) если тока ав превратиться в подобие вмвари но я себе это не представляю...

WoLFeR пишет:
А проактив ничем не поможет при заражениии


уху, оно просто не даст заразить ничего)))

Ранг: 74.4 (постоянный)
Статус: Участник

Создано: 13 сентября 2007 21:35 New!
Цитата · Личное сообщение · #25

Hellspawn пишет:
уху, оно просто не даст заразить ничего)))

Ну это уже человеческий фактор, если у него из каждого процеса будут лезть подтверждения, то хоть да какоето но пропустит.


Ранг: 207.4 (наставник)
Статус: Участник
Jeefo Recovery

Создано: 13 сентября 2007 22:11 New!
Цитата · Личное сообщение · #26

Я вмешаюсь немного....
Думаю, не стоит так полагаться даже на проактивку.... наверняка большинство из вас и так знает, что и её достаточно просто обойти....
В свое время, когда я занимался как раз тестированием различных проактивных систем, ко мне в руки попала одна небезызвестная программа проактивной защиты нашего, российского производства.... дабы не делать рекламы, названия говорить не буду, лишь намекну, производитель имеет самое непосредственное отношение к одной комапнии, занимающейся защитой игр от копирования
Так вот.... Сама проактивная система была нерушима, стабильно работала, обойти её было нереально... До определенного момента...
В один из темных вечеров, от нечего делать, мною была сделана небольшая программулька, которая в обход даже самому жесточайшему уровню блокировки херила весь реестр системы, и систему было невозможно восстановить... да, проактивка честно сообщала что какой то процесс делает что-то там странное с реестром, и по идее должна была тормозить его, но, пока проактивка что-то там пыталась сделать, реестр был успешно захерен....
На сколько я знаю, моя программуля (лик тест), может обходить и текущую версию этой проктивки, что странно.....
Так что, мораль сей басни такова - что имея даже самую совеременную систему защиты и кривые руки, не поможет даже она....


Ранг: 1122.0 (!!!!)
Статус: Участник

Создано: 14 сентября 2007 01:35 New!
Цитата · Личное сообщение · #27

Johnson Finger пишет:
имея даже самую совеременную систему защиты и кривые руки


а чем прямые руки помогут защититься от такого файла? Запускать файлы только от знакомых по реалу, да ещё спрашивать у них подтверждения?


Ранг: 207.4 (наставник)
Статус: Участник
Jeefo Recovery

Создано: 14 сентября 2007 17:57 New!
Цитата · Личное сообщение · #28

Gideon Vi - прямые руки помогут для начала запускать файлы только из проверенных источников, потом помогут запускать их с минимальными правами, гостя к примеру, особо прямые руки сначала запустят это на вирт машине, и только потом пустят на настоящую....
Хотя конечно о чем я, один фиг, можно обойти все... .Если даже User Account Control (UAC) в Висте можно легко отрубить и тоже срать в системе....


Ранг: 271.6 (наставник)
Статус: Участник

Создано: 14 сентября 2007 20:52 New!
Цитата · Личное сообщение · #29

Hellspawn
Мне надоел пустой гон.
Давай по теме. Либо ты помогаешь, либо нет.
Я считаю, что я попросил не много. Если нет, то я закрваю нахрен этот топик и все.


Ранг: 990.3 (! ! !)
Статус: Модератор
Author of DiE

Создано: 14 сентября 2007 21:14 · Поправил: Hellspawn New!
Цитата · Личное сообщение · #30

мля всё готово почти =) чё за наезды? я те в личку всё кину
тут ничё выкладывать не буду
. 1 . 2 . >>
 eXeL@B —› Крэки, обсуждения —› Тест криптора
Эта тема закрыта. Ответы больше не принимаются.

Видеокурс ВЗЛОМ