Перейти к содержанию
Сергей Ильин

Тест антивирусов на поддержку упаковщиков II (подготовка)

Recommended Posts

NickXists
По хорошему, интересно посмотреть все тестируемые упаковщики на "фалсы". Будет видно, кто ставит вердикты по упаковщику, а кто реально поддерживает его.

...

Уточнял из следующий соображений:

например, есть криптор N (допустим, Pohernah и т.д т.п., другой пример - AntiDote), созданный исключительно для скрытия малвары.

(В тесте есть ряд подобных распространенных и "популярных" тулзин).

Предположим, что все_файлы, им криптованные, детектятся антивирусами A,B,C,D как [Trojan.*] и, соответственно,

любые безвредные файлы будут вызывать те же срабатывания.

О чем это может говорить и какую полезную информацию мы можем извлечь из такого детекта безвредных файлов в контексте данного теста?

Предполагаю, что данный детект, вне зависимости от наменования, является адекватным и оправдывает себя,

а любой коллектив или автор, решившаий использовать заведомо и исключительно "малварный" криптор на своем софте, вполне ясно осознает, к чему это приведет.

в это категорию не попадают fsg/mew/telock и т.п. вещи, которые, всеж-таки, можно использовать (и используются, в той или иной мере) и так, и эдак.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dr.Golova

Ммм, неоднозначный случай...

Последние пару лет на антивирусных слетах довольно популярна тема "malware packers", и связанные с этим вопросы детектить/не-детектит/как-детектить

Лично(!) я считаю, что не надо тратить время на распаковку, а надо сразу детектить:

1) То, что сразу позиционируется как "anti-detection tool"

2) То, что содержит анти-эмуляционные приемы, заточенные под АВ движки

3) То, что предлагает купить "приватную версию" (чистяк)

4) Клеи (joiner) в любом их виде, кроме коммерческих (PEBundle, Thinstall, etc)

5) То, что вроде бы паблик, но каждую неделю немного мутирует на малваре (рекомпайлы из паблик сорцов, патченные пакеры, обфускаторы, и т.д.)

6) То, что делается школьниками для школьников, но создает проблемы для АВ (типа перезапустили собственный процесс, вдули в него новое содержимое (пинча например), продолжили выполнение - обошли файловый монитор). Практической пользы ноль, проблемы для АВ есть - детект

7) Еще очень много, я устал писать... :)

Но и детект естественно бывает разный - одно дело сфалсить на армадиллу, назвав ее дроян-дропером, а другое дело спецально задетектить малварный пакер как троян-криптор. Это тоже надо различать. А кричать хпак-ген на все незнакомое это тоже не дело :)

Мысли в слух...

fsg/mew/upx - популярны в малваре, но... это обычные пакеры, давно лежат на сайтах в виде официальных версий, детектить их грешно.

morphine - вроде типичный троянский полиморфный криптор, но лежит в сорцах. оригинальную версию детектить плохо, но модифицированные - запросто.

upack - просто король (после upx) в потоке малвары, но это просто хороший пакер, поэтому он очень часто встрачается на краках, кейгенах, утилитах (особенно китайских). За что же его называют PUA.Packed.UPack? :-)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Я думаю, что сама по себе информация плана

все_файлы, им криптованные, детектятся антивирусами A,B,C,D как [Trojan.*] и, соответственно,

любые безвредные файлы будут вызывать те же срабатывания.

очень интересна, так как дает понимание какой антивирус реально распаковывает, а какой детектит все по пакеру и не более того.

Просто при учете ложных срабатываний не стоит учитывать malware packers. В этом случае нужно сейчас определиться с их списком, чтобы не было вопросов после публикации результатов теста.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sergey ulasen

Давно ждем этот тест :) Дату начала можно озвучить?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Lafiel

Очень бы хотелось увидеть в качестве одного из семплов

что-нибудь, что берется только эвристикой.

На подобии тех что когда-то делал Зайцев в тестах на эмулятор.

Всегда есть вероятность того, что запись была построена неудачно

и упаковщик модифицирует ту часть файла, на которую построена сигнатура.

С эвристическим образцом таких проблем быть не должно.

З.Ы это когда-то предлагалось, но как-то замяли это ...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber
Очень бы хотелось увидеть в качестве одного из семплов

что-нибудь, что берется только эвристикой.

Это хорошо...только вот будут ли все используемые антивирусы в тестировании такой образец детектировать эвристикой? Это еще по-страться нужно такой написать :)))

Всегда есть вероятность того, что запись была построена неудачно

и упаковщик модифицирует ту часть файла, на которую построена сигнатура.

С эвристическим образцом таких проблем быть не должно.

Идея хорошая, только некоторые антивирусные продукты могут продолжать детектировать эвристиком сампл не имея анпакера.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Lafiel

Простейши пример - семпл из двух апи

URLDownloadToFileA

ShellExecuteA

пускай его берут не все, и многие пакеры откажутся паковать

столь малы семпл, но видеть его в тестировании очень хотелось бы.

пускай он даже не влияет на его результаты, а просто в качестве дополнения.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber
Простейши пример - семпл из двух апи

URLDownloadToFileA

ShellExecuteA

пускай его берут не все...

Гадицца :) Автор теста - NickXists, он и решит, брать такой вариант в тестирование или нет.

Его правда некоторые вообще никак не детектят, а кто-то женерик-сигнатурами.

http://www.virustotal.com/ru/analisis/c1b3...06060a755064a9b

тут можно по-экспериментировать с выбором языка и вариантами API - можно попробовать поглядеть на результаты с WinExec, с InternetReadFile и посмотреть где будет меньше сигнатурного детекта и больше эвристического.

Давно ждем этот тест smile.gif

А как же тест на активное заражение? Его не ждете? ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sergey ulasen
А как же тест на активное заражение? Его не ждете? ;)

А то! Конечно ждем ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
NickXists
Я думаю, что сама по себе информация...

...очень интересна, так как дает понимание какой антивирус реально распаковывает, а какой детектит все по пакеру и не более того.

Просто при учете ложных срабатываний не стоит учитывать malware packers. В этом случае нужно сейчас определиться с их списком, чтобы не было вопросов после публикации результатов теста.

ok.

Список очевидных вещей подготовлю в течение 9-10.07.

далее - в принципе:

что касается критериев отбора менее очевидных вещей, которые привел выше Dr. ,

то они достаточно ясно изложены, но, как он и подчеркнул, не во всем бесспорны. Например, на крупных софт-отстойниках лежат free-утилиты, по сути представляющие собой ~joiner-ы.

Офсайты имеются и т.д (отвлеченные примеры из первого попавшегося: Multi-Packer , Alternate-EXE-Packer . Есть и более распространенные)

Т.е. трактовка некоторых результатов будет не вполне очевидной и бесспорной. Это, в принципе, неизбежно, но надо постараться свести к минимуму.

-> sergey ulasen:

Количественные показатели на данный момент таковы:

обработано ~180 наименований тулзов. Это вылилось в ~40тыс файлов. С учетом вещей, находящихся "в процессе" в данный момент, в итоге получается 200(+-)5 наименований после всех проверок и отсеиваний клонов/дубликатов. Под "наименованием" имеется в виду определенная утилита (например, ASPack/upx и т.д.) без учета версий.

-> Lafiel:

раз этот вопрос всплыл еще раз : ), вы бы посчитали приемлимым вариант вроде приведенного вами:

URLDownloadToFile & GetSystemDirectory & ShellExecute + разбавление чем-нибудь, не дающим "лишнего" импорта, до такого размера, когда его начнуть жать побольше тулзов?

Как "факультативный" вариант.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sergey ulasen
Количественные показатели на данный момент таковы:

...

Спасибо. Тогда непосредственно перед самим тестированием просьба предупредить для согласования версии продукта и т.д.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Lafiel

Вполне устроит, главное не нопами забивать :D

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Lafiel

Что-то все притихло ...

А ждать так мучительно ...

Как там тестик продвигается хоть?)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

×