eXeLab
eXeL@B ВИДЕОКУРС !

ВИДЕОКУРС ВЗЛОМ
выпущен 2 августа!


УЗНАТЬ БОЛЬШЕ >>
Домой | Статьи | RAR-cтатьи | FAQ | Форум | Скачать | Видеокурс
Новичку | Ссылки | Программирование | Интервью | Архив | Связь

Русский / Russian English / Английский

Сейчас на форуме: yashechka, Adler (+2 невидимых)
 · Начало · Статистика · Регистрация · Поиск · ПРАВИЛА ФОРУМА · Язык · RSS · SVN ·

 eXeL@B —› Вопросы новичков —› Откуда берутся детекты?
. 1 . 2 . 3 . >>
Посл.ответ Сообщение

Ранг: 9.4 (гость)
Статус: Участник

Создано: 12 марта 2017 00:21 New!
Цитата · Личное сообщение · #1

В начале заметил, что мои проекты периодически на флешке определяются как вирус. В основном на компах где стоят всякие бесплатные антивирусы типа 360 Total Security. Вначале меня это не напрягало доставал файл из карантина и работал дальше. Потом стало интересно а почему детекты, что то не так в коде? Может я использую какие то опасные библиотеки или функции. Собрал пустой файл в Visual Studio 2015, где ничего нет кроме функции main, и выбрал библиотека выполнения Multi-Threaded (/MT), само собой чтобы, не требовалась установленная Visual Studio. И в итоге получил 11- 12 детектов на virustotal. Все антивирусы просто взбесились от этого файла. Это меня очень удивило. Попробовал всякие эксперименты с секциями . Если произвольно удалить или слить например секцию .reloс, то количество детектов снижается на 2 -3. В чем прикол? Откуда и по какой причине берутся детекты?

Ранг: 21.5 (новичок)
Статус: Участник

Создано: 12 марта 2017 01:20 · Поправил: negoday New!
Цитата · Личное сообщение · #2

Наверно в настоящее время все что не известно антивирусу - детект. Раньше было наоборот - детект то, что вирус и в базе есть как вирус. ИМХО.


Ранг: 119.6 (ветеран)
Статус: Участник

Создано: 12 марта 2017 01:21 New!
Цитата · Личное сообщение · #3

ссылку на вт можно глянуть что они там находят)

Ранг: 0.2 (гость)
Статус: Участник

Создано: 12 марта 2017 01:27 · Поправил: HAOSov New!
Цитата · Личное сообщение · #4

Эвристика такая эвристика. Но что-то я у себя такой траблы не замечал. Может быть в более платных продуктах более развита нейросеть и отпечатки, для того чтоб не было фейк-детектов. Пропробуйте использовать их.


Ранг: 292.2 (наставник)
Статус: Участник

Создано: 12 марта 2017 02:33 New!
Цитата · Личное сообщение · #5

zombi-vadim

Это факав детекты. Зависящие от фазы луны.

| Сообщение посчитали полезным: -=AkaBOSS=-



Ранг: 149.2 (ветеран)
Статус: Участник

Создано: 12 марта 2017 04:08 · Поправил: -=AkaBOSS=- New!
Цитата · Личное сообщение · #6

zombi-vadim пишет:
антивирусы типа 360 Total Security

перестаньте называть антивирусом тормозное параноидальное г**но.
галимее этой фигни разве что кypaнинcкaя поделка. и то - не факт.

вот например:
Avira (no cloud) TR/Crypt.XPACK.Gen
CAT-QuickHeal (Suspicious) - DNAScan
Endgame malicious (high confidence)
Invincea trojan.win32.swrort.a
Qihoo-360 HEUR/QVM20.1.0000.Malware.Gen

test.exe

страх и ужас, мрак и жесть...
а ведь там фактически нет никакого кода - просто мессаджбокс.
единственный подвох в порядке секций, но некоторые и в этом видят злобного трояна

вообще не понимаю, за какие заслуги на вирустотале показывают результаты "анализа" этих "антивирусов". статистика использования? дык ими и пользуются-то только те, кто по 3-4 антивиря на комп устанавливают по невнимательности.

Ранг: 407.9 (мудрец)
Статус: Участник

Создано: 12 марта 2017 11:53 · Поправил: dosprog New!
Цитата · Личное сообщение · #7

Так чуваки занимаются этим.
Это пиар ресурса, и вполне успешный.

Если детектит DrWeb и Avira, можно попытаться что-то с файлом сделать (но тоже, без фанатизма. Пускай у них задница и чешется),
на все остальные "сканеры" можно смело не обращать внимания имхо.

Единственная трабла, что будут выложенную раздачу засирать воплями "посоны никочайте там вирус", но то можно просто терпеливо тереть, а истеричек в бан къедренефене. Оно и чище будет, заодно.



Ранг: 534.2 (!)
Статус: Участник
оптимист

Создано: 12 марта 2017 11:54 New!
Цитата · Личное сообщение · #8

Да что вы понимаете это высокоинтеллектуальная эвристика

Ранг: 407.9 (мудрец)
Статус: Участник

Создано: 12 марта 2017 11:57 · Поправил: dosprog New!
Цитата · Личное сообщение · #9

ClockMan пишет:
Да что вы понимаете это высокоинтеллектуальная эвристика

Абсолютно.


Ранг: 292.2 (наставник)
Статус: Участник

Создано: 12 марта 2017 11:58 New!
Цитата · Личное сообщение · #10

Эвристика не так работает, а когда она работает, то это очевидно.
Проверять нужно на норм сервисах, обычно это делают на платных. Из бесплатных норм этот --> Link <--
Ну а VT это ловушка для сбора семплов, там факав большинство.


Ранг: 534.2 (!)
Статус: Участник
оптимист

Создано: 12 марта 2017 12:13 · Поправил: ClockMan New!
Цитата · Личное сообщение · #11

А по сути если пишете код, то не советую отклонятся от норм программирования
1. Не используйте быстрое кодирование(асм, вставки и тому подобное).
2. Не делать прямых вызовов NT айпишок, а вызывать через GetProcAddress
3. Нив коем случае не упаковывать файл всякими пакерами даже безобидным UPX
вероятность детекта уменьшится в разы
упс забыл про 4 й пункт подписать свой файл цифровой подписью тогда это будет воротами в РАЙ


Ранг: 292.2 (наставник)
Статус: Участник

Создано: 12 марта 2017 12:20 · Поправил: difexacaw New!
Цитата · Личное сообщение · #12

ClockMan

Да, сейчас авер определяет формат кода. Под него нужно подстраиваться, что бы не было фейковых детектов фейкового авера. Вот только это важно для чёрных дел.

А есчо можно части авера им же проверить, ну ради развлекухи

Ранг: 0.8 (гость)
Статус: Участник

Создано: 12 марта 2017 12:38 New!
Цитата · Личное сообщение · #13

zombi-vadim
при /MD не было детекта
при /MT сразу при компиляции орёт Avast
нашёл на stackoverflow совет, мне помогло.
"C/C++ > Code Generation > Buffer Security Check"
No (/GS)

Ранг: 407.9 (мудрец)
Статус: Участник

Создано: 12 марта 2017 12:49 · Поправил: dosprog New!
Цитата · Личное сообщение · #14

ClockMan пишет:
3. Нив коем случае не упаковывать файл всякими пакерами даже безобидным UPX

Ну, UPX-то, вроде, не сильно добавляет вероятности херовничания "сканеров"

ClockMan пишет:
пс забыл про 4 й пункт подписать свой файл цифровой подписью тогда это будет воротами в РАЙ

Ото, походу, как бы оно таким раем всё и не закончилось. С драйверами уже определённый напряг присутствует.



Ранг: 292.2 (наставник)
Статус: Участник

Создано: 12 марта 2017 13:18 · Поправил: difexacaw New!
Цитата · Личное сообщение · #15

Сейчас авер слишком хитрый(который не фейк). Я когда недавно статью пилил каспер на всех бесплатных сервисах сбивал детекты - после нескольких тестов запоминал и не детектил больше

Ранг: 9.4 (гость)
Статус: Участник

Создано: 12 марта 2017 13:53 New!
Цитата · Личное сообщение · #16

ClockMan пишет:
упс забыл про 4 й пункт подписать свой файл цифровой подписью тогда это будет воротами в РАЙ
Вот провел ради интереса эксперимент. Берем файл с цифровой подписью, например Skype.exe. заливаем какую нибудь секцию нулями, цифровая подпись становится не действительной. Заливаем на VT, 0 срабатываний. Отхерячиваем вообще подпись от файла. Заливаем на VT, 0 срабатываний.

Ранг: 407.9 (мудрец)
Статус: Участник

Создано: 12 марта 2017 14:18 · Поправил: dosprog New!
Цитата · Личное сообщение · #17

zombi-vadim пишет:
Берем файл с цифровой подписью, например Skype.exe. заливаем какую нибудь секцию нулями, цифровая подпись становится не действительной. Заливаем на VT, 0 срабатываний. Отхерячиваем вообще подпись от файла. Заливаем на VT, 0 срабатываний.

Наверное, тут обратная взаимосвязь.
Если файл "подозрительный", но имеет валидную "подпись", тогда "на него ругаться не нужно".
А в этом случае просто не было поводов для ругани.
Хотя, может быть, в дальнейшем они и добавят ругань на файлы с "нарушенной подписью" или вообще без таковой.
Ото и будет рай..

Сейчас можно, в порядке троллинга, подсобрать файлов с валидными подписями,
поотрезать от них все оверлеи и прогнать каждый через VT.
После повторить операцию для исходных целых файлов.
Теоретически, могут и различия в результатах "сканирования" обнаружиться.


Ранг: 9.4 (гость)
Статус: Участник

Создано: 12 марта 2017 14:38 New!
Цитата · Личное сообщение · #18

dosprog пишет:
Сейчас можно, в порядке троллинга, подсобрать файлов с валидными подписями,
поотрезать от них все оверлеи и прогнать каждый через VT.
После повторить операцию для исходных целых файлов.
Теоретически, могут и различия в результатах "сканирования" обнаружиться.

Я так думаю детекты берутся при автоматическом анализе файла, согласно какому то алгоритму или на VT сидит группа ботанов которые ковыряют каждый файл и смотрят ага это файл пусть детектится у нас на сервисе для интереса!

Ранг: 407.9 (мудрец)
Статус: Участник

Создано: 12 марта 2017 14:54 · Поправил: dosprog New!
Цитата · Личное сообщение · #19

Так автоматом, да.
А потом ботанов напрягают в этом твоём файлЕ ковыряться, да.
Прикинь, как они недовольны


Ранг: 9.4 (гость)
Статус: Участник

Создано: 12 марта 2017 15:07 New!
Цитата · Личное сообщение · #20

dosprog пишет:
А потом ботанов напрягают в этом твоём файлЕ ковыряться, да.
Я так думаю это просто ваше личное мнение. Ну не могут же они расковырять все файлы которые заливаются им на сервис, их огромное количество! И потом расковырял ты файл увидел что он безопасный почему не снять с него детекты?

Ранг: 95.7 (постоянный)
Статус: Участник

Создано: 12 марта 2017 16:39 · Поправил: unknownproject New!
Цитата · Личное сообщение · #21

В аверских конторах целый штат тех, кто отдельные бинарники ресерчит и пишет маны, по которым уже составляются базы.Там достаточное кол-во людей этим занято.После детектирования апдейтится база тотала и усе.Обратная связь у аверов и тотала есть и всегда была.

dosprog пишет:
Если файл "подозрительный", но имеет валидную "подпись", тогда "на него ругаться не нужно".

Это вайтлистом называется.Проще составить список разрешенных по определенным признакам, чем тащить километр кода с блэклистом.Плюс ко всему какой-нибудь сраный школьник, который ссыт запустить твой бинарь, зальет его на тотал и если аверам не понравится твой продукт, основанный на реверсе проприетарных технологий, то они его пометят особым образом.Предвзятость здесь, безусловно, имеет место быть.Бабки отвалишь - не будет детектить.Енто ж бизнес.

Ранг: 407.9 (мудрец)
Статус: Участник

Создано: 12 марта 2017 17:24 New!
Цитата · Личное сообщение · #22

zombi-vadim пишет:
И потом расковырял ты файл увидел что он безопасный почему не снять с него детекты?


До такого состояния, чтобы можно было что-то утверждать на 100%, всё равно проплывающее файло никто раскручивать не будет.
Кроме того, там на VT имеются две кнопки "ЗА" и "ПРОТИВ" детекчения конкретного файла.
Вроде отказа от ответственности за выданный результат.

В общем, выгодная тема. Можно брать за барки мнительных производителей софта.


Ранг: 125.2 (ветеран)
Статус: Участник

Создано: 12 марта 2017 18:06 New!
Цитата · Личное сообщение · #23

Представляю , как дерматолог дрючит все аверские компании . О суммах , которые они откатывают , вообще страшно говорить )

Ранг: 9.4 (гость)
Статус: Участник

Создано: 12 марта 2017 20:02 New!
Цитата · Личное сообщение · #24

dosprog пишет:
Хотя, может быть, в дальнейшем они и добавят ругань на файлы с "нарушенной подписью" или вообще без таковой.

Если вы не заметили, то ваш кошмар уже давно стал реальностью, в лице замечательного UAC. Если ваш файл подписан, то выскакивает синее окошко в котором спрашивают, а не хотите ли вы запустить эту замечательную программу, написанную замечательным издателем? А если не подписан то выскочет желтое окошко, где вас спросят а не хотите ли вы запустить непонятную херь, где вы ее взяли только, и написана она непонятно кем в общем гадость какая то, у себя на компьютере. И сдается мне это и есть ее задача, выкачать бабки с производителя, что бы желтое окошко поменять на синее. А ативирусам вообще по большему счету пофиг она.

Добавлено спустя -51 минут
ClockMan пишет:
А по сути если пишете код, то не советую отклонятся от норм программирования
Ваш совет хорош когда код есть, а когда кода нет, а 11 детектов есть, то думаю стоит задуматься, что не так. И почему чем больше я в настройках линковщика отключаю всяких защит, которых в студии наштамповали великое множество, то тем меньше становится детектов. Отсюда два варианта, либо чем больше файл не похож на собранный по умолчанию, тем лучше значит это не вирус (непонятно откуда такая логика). Либо все таки линковщик добавляет какую то гадость в файл, что беспокоит алгоритмы антивирусов.


Ранг: 292.2 (наставник)
Статус: Участник

Создано: 12 марта 2017 20:32 New!
Цитата · Личное сообщение · #25

zombi-vadim

Для ав всякие массивы/битмапы это зло. Так как по дефолту понимается что это криптованный код. При включении разных защит в модуль добавляется соответствующая инфа, массивы всякие. Это становится подозрительным.

Ранг: 80.7 (постоянный)
Статус: Участник

Создано: 12 марта 2017 20:44 · Поправил: Dart Raiden New!
Цитата · Личное сообщение · #26

dosprog пишет:
Сейчас можно, в порядке троллинга, подсобрать файлов с валидными подписями,
поотрезать от них все оверлеи и прогнать каждый через VT.
После повторить операцию для исходных целых файлов.
Теоретически, могут и различия в результатах "сканирования" обнаружиться.

Я пару лет назад провёл обратную операцию. Взял старый добрый Conficker, который каждая собака знает, подписал его отозванной и просроченной подписью. И Panda Antivirus перестал его детектировать.

Ранг: 95.7 (постоянный)
Статус: Участник

Создано: 12 марта 2017 21:17 · Поправил: unknownproject New!
Цитата · Личное сообщение · #27

Dart Raiden пишет:
Я пару лет назад провёл обратную операцию. Взял старый добрый Conficker, который каждая собака знает, подписал его отозванной и просроченной подписью. И Panda Antivirus перестал его детектировать.

Я на той неделе цапнул срань, которая ни одним авером не детектилась и срала в браузер адварью, прописавшись в
Code:
  1. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\

В составе всей малварной погани файлы имели комодошную цифровую подпись.Пролечено было руками, а при повторном "намеренном" заражении его только SpyHunter задетектил.И знаете что самое смешное ? Пока спайхантер сканил системный раздел, то виндадефендор удалил мне бинарь вмпротекта и еще какого-то интересного коммерческого софта.Т.е. виндадефендор так явно намекнул, что сам по себе он гуано, хотя это итак понятно.Стоит чисто для галки.Скиплист у него есть, исключения отож, так что файлы были восстановлены.

zombi-vadim пишет:
ваш кошмар уже давно стал реальностью, в лице замечательного UAC.

Уак и смартскрин пробиваются, так же как и пробиваются службы.Уак можно полностью вырубить.Я даже статью на этот счет накидал в бложике.

Ранг: 19.8 (новичок)
Статус: Участник

Создано: 12 марта 2017 21:51 New!
Цитата · Личное сообщение · #28

unknownproject
нечего скромничать, ссылка на бложик не помешает!

| Сообщение посчитали полезным: ARCHANGEL


Ранг: 95.7 (постоянный)
Статус: Участник

Создано: 12 марта 2017 22:02 New!
Цитата · Личное сообщение · #29

parfetka пишет:
нечего скромничать, ссылка на бложик не помешает!

--> Link <--


Ранг: 292.2 (наставник)
Статус: Участник

Создано: 12 марта 2017 23:36 New!
Цитата · Личное сообщение · #30

Матчасть по теме, может кому интересно, хотя врядле..

--> Link <--
--> Link <--
. 1 . 2 . 3 . >>
 eXeL@B —› Вопросы новичков —› Откуда берутся детекты?

Оригинальный DVD-ROM: eXeL@B DVD !

Вы находитесь на форуме сайта EXELAB.RU
Проект ReactOS