Пришлось мне как-то писать криптор. Ну, в общем, ничего особенного. Только вот, в силу виртуализации антивирусов, антивирусы щелкают их «на раз», просто запуская код в песочнице и уже там анализируя его.
Пару часов поломав голову, нашел выход (коммерческая тайна)). Главное — не дать песочнице расшифровать файл… Ну, плюс, много всяких плюшек, которые в теории должны мешать отладке и прочая (хотя в реальности они давно не работают, или не везде работают).
Кстати, при генерации одного и того же файла — на выходе получается всегда разные результаты, т.е. код зашифрованного файла всегда разный, есть разница в заголовке (чтоб не дать шанса сигнатурной проверке) и в самом теле (весь зашифрованный код полностью разный при каждой зашифровке).
Правда, пока не все программы возможно зашифровать моей тулзой, на некоторых она обламывается (недоработка пока, сыровата).
Единственной проблемой в ходе тестов оказались непонятки с Symantec и Avast, которые считают файл зашифрованным. Ну так-то оно и есть) только ведь вот в чем беда — эта парочка ровно так же нервно реагирует на чистый файл! Причем чистый файл имеет ничем не приметную энтропию — даже картинка внутри ресурсов не сжата, просто bmp. По каким признакам они считают файлы вредными я так и не понял.
Видео с демонстрацией работы:
Большой привет ESET, McAffee и Касперскому (на видео не попало) — никто не определил такую легенду как Brontok) — VirusTotal.
Вывод вообще печален — одни реагируют не на то, что надо, другие на то, что надо — не реагируют…
P.S. Было у меня собеседование, точнее, пред-общение по почте с HR DrWeb — сказали, что на работу тех, кто помогал в писании вирусов не берут. Вот так вот ) Как говаривал Крис Касперски, чтоб уметь защищать систему ее надо сначала научится ломать.
Комментарии (8)
SicYar
06.10.2016 16:14+1бззз, как то нашел дыры и баги в системе, которую админил, отругали, сказали не мое дело. А тут и с вирусописателями так же…
printerresetter
07.10.2016 01:28+1У меня есть коммерческое приложение для Windows. По факту это шифрованный контейнер, который содержит java-приложение, которое так же имеет свою внутреннюю защиту.
Доблестный DrWeb каким-то образом считает, что это вирус. На мои кейсы о ложном срабатывании эти борцы с вирусами не реагируют.
Используют ли они генератор случайных чисел в процессе обнаружения вирусов?
omegicus
07.10.2016 01:31может я не прав, но докторВеб не совсем на уровне (не из-за отказа мне говорю), их уровень — где-то ClamAV, не выше. А прибыль их — потому что почти все госструктуры на их продуктах, т.к. только они, к примеру, выпускали решения для ОС МСВС (как минимум, видимо и для других ОС госсектора). Не зря за рубежом Касперский гремит, а про паучка никто не слыхивал…
исключительно ИМХО
printerresetter
07.10.2016 01:38Такое впечатление, что все эти разговоры о какой-либо интеллектуальности антивирусов не более чем маркетинговая лапша.
По факту мы имеем мир, где милиционеры (антивирусные программы) имеют фотокарточки всех преступников (сигнатуры вирусов). И только эта схема работает наиболее эффективно.
Но как видно, их эвристические алгоритмы несколько хромают.
Zolushok
07.10.2016 13:24к сожалению, всё не так хорошо. не только «милиционеры имеют фотокарточки преступников», но и любой преступник может проверить по актуальной милицейской картотеке, поймают ли его в том или ином макияже.
так что, разговоры об эффективности упомянутой схемы тоже маркетинговая лапша ))
Ivan_83
09.10.2016 00:44Можешь в дарквебе продавать услуги по обфускации за деньги или всякие платные проги дополнительно обвешивать защитой, может и по более заработаешь чем на унылой галере дрвеба или каспера или прочих защитнегов венды от юзеров.
В остальном — тяжело жить на винде :)
У себя во FreeBSD я все бинарники в лицо знаю, могу спросить у pkg чей это файл (от какой проги) и совпадает ли его хэш с тем что было установлено изначально.
Просто так, какие то бинари тут не валяются, ровно как и речи нет о том, чтобы что то скачать и запустить.
Те система близка к белым спискам.
vilgeforce
А еще говорят что раз ошибешься — век помнить будут. Крис же ошибался.