Сделал шифрование exe для себя. Помогло от антивирусов — они перестают распозновать exe, правда пока на сайт не выкладывал такую версию exe.
Если кому интересно могу сделать вэб морду для данного сервиса и продавать этот сервис.
Есть ли желающие ?
Ещё думаю сделать защиту от дебаггеров, нужно ли это вам ?
Если кто пользуется такими сервисами или софтом напишите плиз чем пользуетесь и сколько платите ?
Здравствуйте, maks1180, Вы писали:
M>Сделал шифрование exe для себя. Помогло от антивирусов — они перестают распозновать exe, правда пока на сайт не выкладывал такую версию exe. M>Если кому интересно могу сделать вэб морду для данного сервиса и продавать этот сервис. M>Есть ли желающие ? M>Ещё думаю сделать защиту от дебаггеров, нужно ли это вам ?
M>Если кто пользуется такими сервисами или софтом напишите плиз чем пользуетесь и сколько платите ?
Как только версия станет публичной, сигнатуры все равно будут добавлены антивирусами и появятся ложные срабатывания.
По началу, возможно, ложных срабатываний нет, но гарантий на будущее никаких.
Для решения проблемы ложных детектов целесообразнее, все таки, использовать подпись цифровым сертификатом.
Здравствуйте, maks1180, Вы писали:
M>Сделал шифрование exe для себя. Помогло от антивирусов — они перестают распозновать exe, правда пока на сайт не выкладывал такую версию exe. M>Если кому интересно могу сделать вэб морду для данного сервиса и продавать этот сервис. M>Есть ли желающие ? M>Ещё думаю сделать защиту от дебаггеров, нужно ли это вам ?
M>Если кто пользуется такими сервисами или софтом напишите плиз чем пользуетесь и сколько платите ?
Ну ёмаё. Шифрование и защита от дебага — как раз те функции, на которые антивири начнут триггериться рано или поздно.
M>Если кто пользуется такими сервисами или софтом напишите плиз чем пользуетесь и сколько платите ?
Лучше и нужнее сервис контроля антивирусов. Что нибудь чтобы иметь гарантированное понимание — установится твоя прога на комп клиента или нет.
у меня на протяжении месяца defender удалял программу после начала установки.
в вирус тотал было более менее чисто.
когда я сам скачивал дистриб все было норм
когда я устанавливал на своем компе было норм
но когда я догадался скачать и установить на имеющемся у меня VDS — получил срабатывание
E>Как только версия станет публичной, сигнатуры все равно будут добавлены антивирусами и появятся ложные срабатывания. E>По началу, возможно, ложных срабатываний нет, но гарантий на будущее никаких.
Если ключ шифрования менять постоянно и антивирусы не будет успевать сигнатуры менять.
E>Для решения проблемы ложных детектов целесообразнее, все таки, использовать подпись цифровым сертификатом.
Уже есть — не помогло и переписка с ними тоже не помогла.
Здравствуйте, maks1180, Вы писали:
E>>Как только версия станет публичной, сигнатуры все равно будут добавлены антивирусами и появятся ложные срабатывания. E>>По началу, возможно, ложных срабатываний нет, но гарантий на будущее никаких.
M>Если ключ шифрования менять постоянно и антивирусы не будет успевать сигнатуры менять.
Начало выполнения кода расшифровки все равно будет одинаковое для всех файлов, забанят по этому участку. Не по этому, так по другому. Никто разбираться с зашифрованными данными не будет, есть сигнатура -> черный список -> детект. Это не решение данного вопроса, это может помочь, но только по началу, очень недолго.
E>>Для решения проблемы ложных детектов целесообразнее, все таки, использовать подпись цифровым сертификатом.
M>Уже есть — не помогло и переписка с ними тоже не помогла.
У нас были прецеденты, когда пользователи играли настройками протектора, подписывали файл, загружали на virustotal, и так много много раз, пытаясь избавиться от какого-то незначительного ложного срабатывания. Как результат, начали появляться новые детекты, все более и более. Результатом стало каскадное ложное срабатывание, когда один антивирус создает детект только на основе ложного детекта другого. Если такое случилось, то да, сертификат на помойку, он уже находится во всех черных списках (хотя и незаслуженно), выход — только покупать новый сертификат.
Здравствуйте, maks1180, Вы писали:
D>>Ну ёмаё. Шифрование и защита от дебага — как раз те функции, на которые антивири начнут триггериться рано или поздно.
M>На моих тестах не триггерили, но было только шифрование.
Тут ключевое выражение "рано или поздно".
Хотя... с такой поправкой можно о каждой строчке кода сказать. Мне кажется, что у перечисленных фич вероятность триггера будет повыше.
M>>Если ключ шифрования менять постоянно и антивирусы не будет успевать сигнатуры менять.
E>Начало выполнения кода расшифровки все равно будет одинаковое для всех файлов, забанят по этому участку. Не по этому, так по другому. Никто разбираться с зашифрованными данными не будет, есть сигнатура -> черный список -> детект. Это не решение данного вопроса, это может помочь, но только по началу, очень недолго.
Код для расшифровки — очень маленький, и его тоже можно менять на уровни аналогичных ассемблерных команд.
И если они по такому маленькому коду будет детектить, то у них будет много ложных срабатываний на другой софт.
Здравствуйте, maks1180, Вы писали:
M>Сделал шифрование exe для себя. Помогло от антивирусов — они перестают распозновать exe, правда пока на сайт не выкладывал такую версию exe. M>Если кому интересно могу сделать вэб морду для данного сервиса и продавать этот сервис. M>Есть ли желающие ? M>Ещё думаю сделать защиту от дебаггеров, нужно ли это вам ?
Я б в жизни не использовал такой сервис от малоизвестного поставщика. Хрен его знает, что он ещё там делает помимо шифрования. Вдруг вирус какой подмешивает или шпионскую програмку.
Pzz>Я б в жизни не использовал такой сервис от малоизвестного поставщика. Хрен его знает, что он ещё там делает помимо шифрования. Вдруг вирус какой подмешивает или шпионскую програмку.
Это легко проверить, там код увеличивается на 50 байт. Вирус не может так мало весить. Т.е. код который расшифровывает весит около 50 байт.
Здравствуйте, maks1180, Вы писали: M>Это легко проверить, там код увеличивается на 50 байт. Вирус не может так мало весить. Т.е. код который расшифровывает весит около 50 байт.
Это совсем не показатель. Хороший вирус может еще и уменьшить размер ехешника, упаковав его.
Ну а вообще, это не новая тема. Например, ASProtect так мог делать, за это его очень любили изготовители всякой малвари. Поэтому абсолютно белые ехешники накрытые этой защитой стабильно детектились кучей антивирусов.
PS
Ну и в принципе, вот по этим 50 байтам расшифровщика, антивирусы и будут детектить зашифрованные тобой ехешники. Если ты сделаешь, чтобы расшифровщик видоизменялся (морфировал), то им будет уже сложнее. Этим ты как раз изобретешь полиморфный вирус. Ну а раз уж пришел к этому, то грех не добавить в код шифруемого ехешника какой-нибудь майнер или бэкдор, для дополнительного заработка. Чего уж там стесняться то, раз уж вышел на эту скользкую дорожку.
M>>Это легко проверить, там код увеличивается на 50 байт. Вирус не может так мало весить. Т.е. код который расшифровывает весит около 50 байт.
_>Это совсем не показатель. Хороший вирус может еще и уменьшить размер ехешника, упаковав его.
Хотя да, наверно возможно!
1 часть кода (50 байт) — расшифровывает 2-ую часть кода. 2 часть кода — распаковывает и расшифровывает остальной код.
_>Ну а вообще, это не новая тема. Например, ASProtect так мог делать, за это его очень любили изготовители всякой малвари. Поэтому абсолютно белые ехешники накрытые этой защитой стабильно детектились кучей антивирусов.
_>PS _>Ну и в принципе, вот по этим 50 байтам расшифровщика, антивирусы и будут детектить зашифрованные тобой ехешники. Если ты сделаешь, чтобы расшифровщик видоизменялся (морфировал), то им будет уже сложнее. Этим ты как раз изобретешь полиморфный вирус. Ну а раз уж пришел к этому, то грех не добавить в код шифруемого ехешника какой-нибудь майнер или бэкдор, для дополнительного заработка. Чего уж там стесняться то, раз уж вышел на эту скользкую дорожку.
Нет, это совсем разные дорожки с точки зрения закона зашифровать exe и добавить бэкдор.
Здравствуйте, maks1180, Вы писали:
M>Это легко проверить, там код увеличивается на 50 байт. Вирус не может так мало весить. Т.е. код который расшифровывает весит около 50 байт.
Можно ж поджать, потом зашифровать. Так место и появится.
Здравствуйте, maks1180, Вы писали:
M>Код для расшифровки — очень маленький, и его тоже можно менять на уровни аналогичных ассемблерных команд.
А вот это уже выглядит как малварь Типа подписано одним и тем же ключом, behavior profile тот же самый, но лоадер полиморфный ... и превед, хрен отмоешься потом.
Здравствуйте, maks1180, Вы писали:
M>Это легко проверить, там код увеличивается на 50 байт. Вирус не может так мало весить. Т.е. код который расшифровывает весит около 50 байт.
Либо там не 50 байт, а он просто жмет оригинальный код перед шифрованием и в освободившееся место пишет хитрую лабубу.
На любой аргумент в пользу можно придумать кейс против. Единственный способ — это поставлять шифровалку в исходниках.
Здравствуйте, maks1180, Вы писали:
I>>да им насрать, сколько раз уже сталкивался что на детект может влиять какой-то компонент Delphi или иконка из готового набора
M>Интересно насколько реально выиграть суд у антивирусной компании за ложный детект ?
