eXeLab
eXeL@B ВИДЕОКУРС !

ВИДЕОКУРС ВЗЛОМ
выпущен 2 августа!


УЗНАТЬ БОЛЬШЕ >>
Домой | Статьи | RAR-cтатьи | FAQ | Форум | Скачать | Видеокурс
Новичку | Ссылки | Программирование | Интервью | Архив | Связь

Русский / Russian English / Английский

Сейчас на форуме: (+3 невидимых)
 · Начало · Статистика · Регистрация · Поиск · ПРАВИЛА ФОРУМА · Язык · RSS · SVN ·

 eXeL@B —› Вопросы новичков —› Откуда берутся детекты?
<< . 1 . 2 . 3 . >>
Посл.ответ Сообщение

Ранг: 9.8 (гость)
Статус: Участник

Создано: 12 марта 2017 00:21 New!
Цитата · Личное сообщение · #1

В начале заметил, что мои проекты периодически на флешке определяются как вирус. В основном на компах где стоят всякие бесплатные антивирусы типа 360 Total Security. Вначале меня это не напрягало доставал файл из карантина и работал дальше. Потом стало интересно а почему детекты, что то не так в коде? Может я использую какие то опасные библиотеки или функции. Собрал пустой файл в Visual Studio 2015, где ничего нет кроме функции main, и выбрал библиотека выполнения Multi-Threaded (/MT), само собой чтобы, не требовалась установленная Visual Studio. И в итоге получил 11- 12 детектов на virustotal. Все антивирусы просто взбесились от этого файла. Это меня очень удивило. Попробовал всякие эксперименты с секциями . Если произвольно удалить или слить например секцию .reloс, то количество детектов снижается на 2 -3. В чем прикол? Откуда и по какой причине берутся детекты?


Ранг: 534.2 (!)
Статус: Участник
оптимист

Создано: 13 марта 2017 01:24 New!
Цитата · Личное сообщение · #2

zombi-vadim пишет:
Вот провел ради интереса эксперимент. Берем файл с цифровой подписью, например Skype.exe. заливаем какую нибудь секцию нулями, цифровая подпись становится не действительной. Заливаем на VT, 0 срабатываний. Отхерячиваем вообще подпись от файла. Заливаем на VT, 0 срабатываний.

Ну так может 'это косяк VT В базу вбили чтобы по 100 раз не сканировать один и тот же файл

Ранг: 407.9 (мудрец)
Статус: Участник

Создано: 13 марта 2017 01:57 New!
Цитата · Личное сообщение · #3

Так другой файл. Там первым делом чексумму проверяют.

Ранг: 21.5 (новичок)
Статус: Участник

Создано: 13 марта 2017 13:04 New!
Цитата · Личное сообщение · #4

Вот ещё пишут на одном из форумов: "Антивирусы действуют по принципу того аббата, "Убивайте их всех. Господь узнает своих"©, если в коде программы есть обращение к сетевым функциям - значит троян. А подпись файла дело десятое."

Ранг: 9.8 (гость)
Статус: Участник

Создано: 13 марта 2017 20:37 New!
Цитата · Личное сообщение · #5

Я так понимаю толком никто не знает как настроить линковщик чтоб убрать все детекты?

Ранг: 407.9 (мудрец)
Статус: Участник

Создано: 13 марта 2017 20:39 · Поправил: dosprog New!
Цитата · Личное сообщение · #6

zombi-vadim пишет:
Я так понимаю толком никто не знает как настроить линковщик чтоб убрать все детекты?

) Толком этого не знают и в микрософте.



Ранг: 292.6 (наставник)
Статус: Участник

Создано: 13 марта 2017 20:54 New!
Цитата · Личное сообщение · #7

zombi-vadim

Для этой цели давно изобрели крипторы


Ранг: 121.0 (ветеран)
Статус: Участник

Создано: 13 марта 2017 21:20 New!
Цитата · Личное сообщение · #8

если заливать на вт крипторы не спасут

Добавлено спустя -53 минут
https://www.virustotal.com/ru/file/6b478b8b5727701e5d22098c3cfe49532e13228e9f06575e1d401ded696f2fb4/analysis/1489425448/


Ранг: 292.6 (наставник)
Статус: Участник

Создано: 13 марта 2017 21:33 New!
Цитата · Личное сообщение · #9

SDK

Я ранее линк привёл не просто так, там главное не какое то знание, а само понимание как эти вещи анализить, понимать. ВТ это отдельная тема, там стоят ханипоты и виртульные машины с ловушками.


Ранг: 121.0 (ветеран)
Статус: Участник

Создано: 13 марта 2017 21:34 New!
Цитата · Личное сообщение · #10

Показатель выявления: 6 / 58

пару минут назад было 4


Антивирус Результат Дата обновления
Avira (no cloud) TR/Crypt.XPACK.Gen 20170313
Comodo TrojWare.Win32.Trojan.XPACK.Gen 20170313
Endgame malicious (high confidence) 20170222
Invincea trojan.win32.swrort.a 20170203
Qihoo-360 HEUR/QVM20.1.0000.Malware.Gen 20170313
Rising Malware.Heuristic!ET#96% (rdm+) 20170313

а вот и сам файл достаточно было поменять имена секций добавить иконку и фразу пинч ) к простому хелоуворлду как стал по авире трояном покриптованым)))

{ Атач доступен только для участников форума } - test.exe

Добавлено спустя -57 минут
да и дерматолог наверно в шоке ))

Ранг: 0.7 (гость)
Статус: Участник

Создано: 13 марта 2017 21:58 New!
Цитата · Личное сообщение · #11

difexacaw

второй свиток вашего мануала требует пароль)
Ну а так от называния ikarus антивирусом вырвало, пароля не надо


Ранг: 292.6 (наставник)
Статус: Участник

Создано: 13 марта 2017 22:47 · Поправил: difexacaw New!
Цитата · Личное сообщение · #12

Demmo

vx дефолтный пасс всегда.

ikarus - как бы там ни было, он работает.

Ранг: 9.8 (гость)
Статус: Участник

Создано: 14 марта 2017 20:30 New!
Цитата · Личное сообщение · #13

Ладно буду продолжать эксперименты. Подскажите как мне заставить линковщик поменять секции местами? У меня по умолчанию идет вначале секция ресурсов, потом секция релоков. А надо наооборот.


Ранг: 582.8 (!)
Статус: Модератор
Research & Development

Создано: 14 марта 2017 22:40 New!
Цитата · Личное сообщение · #14

zombi-vadim
Используй UniLink, он генерит очень компактные бинарники.

Скачать (ftp):
ulnb0115.zip - UniLink Beta
ulhlp_en.zip - English Help
ulhlp_ru.zip - Russian Help

ftp:
ftp://ftp.styx.cabel.net/pub/UniLink/

Ранг: 9.8 (гость)
Статус: Участник

Создано: 14 марта 2017 22:51 · Поправил: zombi-vadim New!
Цитата · Личное сообщение · #15

JupiterСпасибо конечно, но разве в студии нет возможности поменять секции местами??


Ранг: 582.8 (!)
Статус: Модератор
Research & Development

Создано: 14 марта 2017 23:36 New!
Цитата · Личное сообщение · #16

Есть опция объединения, можешь релоки слить с .const/.rdata:
Code:
  1. /merge:.reloc=.rdata

/SECTION (Specify Section Attributes)
/MERGE (Combine Sections)

Ранг: 9.8 (гость)
Статус: Участник

Создано: 15 марта 2017 21:23 New!
Цитата · Личное сообщение · #17

Jupiter пишет:
Есть опция объединения
Я знаю про эту опцию. А опции перемены секций местами нет? Или просто никто не знает?


Ранг: 582.8 (!)
Статус: Модератор
Research & Development

Создано: 15 марта 2017 21:51 New!
Цитата · Личное сообщение · #18

zombi-vadim

Ты хочешь местами менять или сделать секцию ресурсов последней?
Объединение релоков (.reloc) с данными (.rdata, .data, .idata) решает твою задачу.
Тебе шашечки или ехать?


Ранг: 292.6 (наставник)
Статус: Участник

Создано: 15 марта 2017 22:17 New!
Цитата · Личное сообщение · #19

zombi-vadim

Наверно нельзя такое провернуть. Оно обычно и не нужно. Для загрузчика не имеет значения в каком порядке идут секции. Разрабы не хорошие такие, что не реализовали опций линкеру для обхода ав детектов

Ранг: 9.8 (гость)
Статус: Участник

Создано: 16 марта 2017 00:53 · Поправил: zombi-vadim New!
Цитата · Личное сообщение · #20

Jupiter пишет:
Ты хочешь местами менять или сделать секцию ресурсов последней?
Ну е мое я хочу местами менять!!
Вот смотрю "правильные файлы" там всегда сначало релок а потом ресурс..


Ранг: 582.8 (!)
Статус: Модератор
Research & Development

Создано: 16 марта 2017 01:57 New!
Цитата · Личное сообщение · #21

zombi-vadim
UniLink ты использовать не хочешь. Хотя это бы решило проблему.
Объединять секции не хочешь. И этоо тоже бы решило проблему.

Ну тогда копай файл проекта Visual Studio, смотри в настройках Custom Build Tools, Resource compiler, Linker, Manifest Tool.
Сохрани готовый манифест (.xml) и используй его, указывая явно, а не генерируя на ходу.
Тут хз, почему у тебя другой порядок секций.

Ранг: 11.5 (новичок)
Статус: Участник

Создано: 16 марта 2017 02:26 New!
Цитата · Личное сообщение · #22

Jupiter пишет:
Используй UniLink, он генерит очень компактные бинарники.


Большой разницы не заметил по сравнению с линкером из VS2015(с флагами).


Ранг: 582.8 (!)
Статус: Модератор
Research & Development

Создано: 16 марта 2017 03:50 New!
Цитата · Личное сообщение · #23

Diabolic
А какую разницу ты ожидал?

Ранг: 11.5 (новичок)
Статус: Участник

Создано: 16 марта 2017 04:12 · Поправил: Diabolic New!
Цитата · Личное сообщение · #24

Jupiter пишет:
А какую разницу ты ожидал?


Jupiter пишет:
Используй UniLink, он генерит очень компактные бинарники.


Здравствуйте.
Тут наверное ещё такой фактор как - относительность.
Вы относительно какого компоновщика компактность бинарных файлов скомпонованных UniLink-ом рассматривали?


Ранг: 582.8 (!)
Статус: Модератор
Research & Development

Создано: 16 марта 2017 10:25 New!
Цитата · Личное сообщение · #25

Diabolic пишет:
относительно какого компоновщика

Относительно MS Link.

Сравниваем то мы одни и те же продукты.
Ты написал про "Большой разницы не заметил", вот я и поинтересовался, а какой конкретно разницы ты ожидал. Это же не пакер, а линкер.

Ранг: 11.5 (новичок)
Статус: Участник

Создано: 16 марта 2017 13:43 · Поправил: Diabolic New!
Цитата · Личное сообщение · #26

Jupiter пишет:
Ты написал про "Большой разницы не заметил", вот я и поинтересовался, а какой конкретно разницы ты ожидал.


Более "компактной", так как вы его советовали автору топика.

Если относительно MS линкера, то большой разницы к сожалению не увидел, как и писал выше.


Ранг: 582.8 (!)
Статус: Модератор
Research & Development

Создано: 16 марта 2017 17:35 New!
Цитата · Личное сообщение · #27

Diabolic
ОК, задам вопрос иначе: разница есть? Если есть, то какая?

Ранг: 11.5 (новичок)
Статус: Участник

Создано: 16 марта 2017 17:47 New!
Цитата · Личное сообщение · #28

Jupiter пишет:
ОК, задам вопрос иначе: разница есть? Если есть, то какая?


Я вам уже отвечал, что большой разницы не заметил в "компактности".

Ранг: 0.0 (гость)
Статус: Участник

Создано: 16 марта 2017 19:38 New!
Цитата · Личное сообщение · #29

Diabolic пишет: Я вам уже отвечал, что большой разницы не заметил в "компактности".

Наверное потому что UniLink не добавляет отсебятины, соберите программу древним билдером использую его родной линкер, а после соберите с UniLink, увидите разницу.

Ранг: 11.5 (новичок)
Статус: Участник

Создано: 16 марта 2017 20:08 · Поправил: Diabolic New!
Цитата · Личное сообщение · #30

shellstorm пишет:
соберите программу древним билдером использую его родной линкер


Здравствуйте.
Можно с этого места поподробнее?!


Ранг: 292.6 (наставник)
Статус: Участник

Создано: 16 марта 2017 22:18 New!
Цитата · Личное сообщение · #31

Утеря смысла.
<< . 1 . 2 . 3 . >>
 eXeL@B —› Вопросы новичков —› Откуда берутся детекты?

Оригинальный DVD-ROM: eXeL@B DVD !

Вы находитесь на форуме сайта EXELAB.RU
Проект ReactOS