Перейти к содержанию
dr_dizel

Поддержка упаковщика TheMida

Recommended Posts

dr_dizel

Слежу сейчас на Вэбовском бактрекере за добавлением нового упаковщика - TheMida.

С сентября 2007 были замечены проблемы с распаковкой программ с этим новым пакером. С 30.01.08 баг #0017490 на трекере Вэба. Проверял 31.01.08 третий архив из трекера на вирустотале, так варингов было процентов на 40. Вэб и Каспер молчали.

Сегодня вот Каспер прозрел, а Вэб нет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dr_dizel

Раз уж выделили моё сообщение в отдельную тему, то добавлю скриншот.

Themida.gif

Как видим - многие ещё просто ругаются на сам упаковщик.

post-4003-1201866576_thumb.png

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dr_dizel

Может ли KAV противостоять Themida - отвечает следующий скриншот:

kav_lies.gif

Похоже, что в KAV просто добавили сэмпл вируса из третьего архива на трекере.

post-4003-1201962538_thumb.png

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dr_dizel

И конечно же стоит добавить классику до кучи - защищённый TheMida стандартный блокнот.

themida_notepad.gif

Очень понравился информативный диагноз от Prevx1.

This file has not yet been classified as safe. It was first seen on Saturday, Feb 2 2008. It has only been seen by one user in this section of the community. The file has only been seen in SPAIN.THEMIDA_NOTEPAD.EXE has been seen to perform the following behaviors:- The Process is packed and/or encrypted using a software packing process- The Process is polymorphic and can change its structure

Похоже, что его эвристик заслуживает внимания и очень хорошо смотрится в тестах.

post-4003-1201981232_thumb.png

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

F-Secure поддерживает больше пакеров, чем Касперский? <_<

- The Process is polymorphic and can change its structure

:lol:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dr_dizel
...

Когда компьютеры были большими, а винчестеры объема маленького... многие писатели статей вирусной тематики обсасывали тему полиморфиков и виртуальных машин. После таких статей (например, Криса Касперски) поднималась шумиха и возгласы, что всё плохо, и мы все умрём... Но приходил воин (Касперский там или Данилов) и молвил, что у них есть такие приборы, но они вам о них не расскажут (типа эмуляторов с разложением на графы).

Но вот сегодняшний день. Пришла Theida, и все вирусописатели начали паковать ею свои коллекции вирусов.

Все умерли. ;)

Касательно запакованного блокнота.

Смотрим сюда: http://www.oreans.com/themida_features.php или на скрин в 3-м сообщении.

Получается, что блокнот теперь действительно полиморфная-VM.

Делаем выводы.

Да! Совсем забыл. Надо же скрин именно вируса запакованного запостить. Вот и он:

copyself.gif

Кое-кто ругается на упаковщик и нет ни одного упоминания о трояне.

post-4003-1202127945_thumb.png

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.

Themida не пакер и не упаковщик. Поймите этот простой факт.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dr_dizel
Themida не пакер и не упаковщик. Поймите этот простой факт.

Все уже давно это поняли. Просто вирустотал говорит о themida, как об упаковщике - вот и проскакивает такое слово в сообщениях.

Какие, кстати, планы у KAV по осиливанию этого обфускатора?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.

Скорее детект, чем распаковка ...

Проблема в количестве времени. Машинного времени. Которое надо потратить на распаковку того что под ним. Устроит вас, как пользователя, по паре минут на один файл ? А на почтовом сервере ?

smart.jpg

post-413-1202131367_thumb.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dr_dizel
Скорее детект, чем распаковка ...

Проблема в количестве времени. Машинного времени. Которое надо потратить на распаковку того что под ним. Устроит вас, как пользователя, по паре минут на один файл ?

Если у сканера, то да - устраивает. Там же и "кнопочка" пропустить есть. ;)

А вот монитор - пусть спрашивает и предупреждает о длительности. Можно для этого специальные задания замутить с низшим приоритетом в фоновом режиме, если такие потребности в ресурсах. Да и не думаю, что такие защищённые файлы будут валяться кучами по диску.

А на почтовом сервере ?

А на почтовом сервере надо отфудболивать все тэмиды нафиг.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Максим

Проблема в количестве времени. Машинного времени. Которое надо потратить на распаковку того что под ним. Устроит вас, как пользователя, по паре минут на один файл ? А на почтовом сервере ?
Надо сделать это отключаемым в настройках и по дефолту отключать.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ASMax
Но вот сегодняшний день. Пришла Theida, и все вирусописатели начали паковать ею свои коллекции вирусов.

Все умерли. ;)

Получается, что блокнот теперь действительно полиморфная-VM.

Делаем выводы.

Ну, вообще говоря, пришла темида вовсе не сегодня, а много лет назад, а если говорить о ее предыдущих инкарнациях (xprotector & pe-protector), то ей впору справлять юбилей. ;)

Что же касается "полиморфно-виртуализованного" блокнота, то виртуализовано там скорее всего лишь 15 первых инструкций и небольшие части самого конверта. :rolleyes:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dr_dizel
Что же касается "полиморфно-виртуализованного" блокнота, то виртуализовано там скорее всего лишь 15 первых инструкций и небольшие части самого конверта. :rolleyes:

Вполне возможно т.к. паковал я всё demo-версией. Но почему тогда все антивирусы так "расстроились" по этому поводу?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ASMax
Вполне возможно т.к. паковал я всё demo-версией. Но почему тогда все антивирусы так "расстроились" по этому поводу?

Потому что для распаковки все равно требуется пройти все слои и фичи протектора. Просто если бы виртуализации подвергался ВЕСЬ код, то сигнатурный детект распакованных бинарей был бы невозможен в принципе. Правда и скорость исполнения была бы... :lol:

Что же касается поддержки темиды в антивирусах, то поживем - увидим. <_<

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dr.Golova

Кстати, буквально на прошлой неделе в приватных форумах господа из Симантека утвержади, что у них есть распаковщик фемиды для "всех известных им версий". Судя по скриншотам или им известны не все версии, или распаковщик фуфловый - типа скинуть распакованый стрим, и детектить только потоковыми сигнатурами. Ну или они имели в виду in-the-lab распаковщик =)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
IT-Shark
Все уже давно это поняли. Просто вирустотал говорит о themida, как об упаковщике - вот и проскакивает такое слово в сообщениях.

Какие, кстати, планы у KAV по осиливанию этого обфускатора?

:blink: А нафига обфускаторы детектить как вредоносы, а?

Как Вы себе представляете написание вредоносов на .NET?

В общем, закругляйтесь с ерундой!

Очень хочу понять, чем руководствуются люди, которые всячески нагадить стараются честным кодерам.

Или Вам нужно знать, что там кто написал?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dr_dizel
:blink: А нафига обфускаторы детектить как вредоносы, а?...

Вы это о чём? :blink: Я про детект обфускаторов ничего не писал.

Дело же совсем в другом. Детектить надо вирусы. А на сегодняшний день любой вирус можно обработать этим обфускатором и он перестанет детектиться антивирусами. А зачем нам тогда эти самые антивирусы?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
IT-Shark

dr_dizel, просто лично меня смутил термин "обфускаторы"

Скрипт - пакер и обфускатор не сильно одинаковые понятия.

А вот обфускаторы в той же .NET защищают код от злоумышленника.

Если сейчас обфускаторы будут резаться - для воров настанут райские времена!

А вор и преступник - понятия для меня лично не различимые!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Илья Рабинович
А вот обфускаторы в той же .NET защищают код от злоумышленника.

Скорее, делают вид, что защищают. Стоит почитать кряклабу- эти "защиты" разламываются на счёт раз.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ASMax
Кстати, буквально на прошлой неделе в приватных форумах господа из Симантека утвержади, что у них есть распаковщик фемиды для "всех известных им версий". Судя по скриншотам или им известны не все версии, или распаковщик фуфловый - типа скинуть распакованый стрим, и детектить только потоковыми сигнатурами. Ну или они имели в виду in-the-lab распаковщик =)

Ну исходя из первой версии тестов по поддержке упаковщиков (которые теперь перекочевали сюда и выдерживают паузу вежливости :) ), Симантек начинает хвататься за иконки на всем что сложнее upx, куда уж там темиду. :D

dr_dizel, просто лично меня смутил термин "обфускаторы"

Если я правильно понял dr_dizel'a, то он имел в виду раскручивание обфускаторов, а не их детект. Так что беспокоиться вроде не о чем. :rolleyes:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dr_dizel

Проходил утром мимо wasm.ru. Дай, думаю, запакую подопытный copyself ещё чем-нибудь, что попадётся на глаза.

Первым в крипторах попался Obsidium. А вот и результат:

obsidium_copyself.gif

Дежавю какое-то.

post-4003-1202375420_thumb.png

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
IT-Shark

Боюсь Вы так и не поняли, о чём я хотел сказать.

Обфускаторами, помимо вредителей, ещё и нормальные кодеры пользуются.

Давайте ради группки выродков по честным людям бить!

У нас их много - пары тройки не жалко!

Показали скрины, на которых от Обфусккации лечат!

А потом что?

Кстати, лично я за то, чтобы объявить TheMida вне закона. Но я против того, чтобы идти этим путём и дальше, то есть распространять опыт на Обфускаторы NET сборок!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dr_dizel
Боюсь Вы так и не поняли, о чём я хотел сказать.

Возможно. Я думаю, что вы запутались в терминологии.

Обфускаторами, помимо вредителей, ещё и нормальные кодеры пользуются.

Давайте ради группки выродков по честным людям бить!...

Ну не надо так сразу всех выродками называть. Сокрытие внутренней логики программы может быть использовано в различных целях.

Другое дело антивирусы. Нам давно разработчики сих продуктов пели, что они могут справится с любыми вирусами - у них есть соответствующие технологии. Эти продукты разрабатываются и продаются для звщиты от вирусов. Однако когда в дело вступают обфускаторы-крипторы процессорного кода, которые позволяют любой вирус сделать неузнаваемым для ативирусов, то это ставит под сомнение целесообразность существования и покупки антивирусов. Сам факт их существования, так сказать.

Решение проблем в детекте обфускованных вирусов и ругани на легальный защищённый от исследования программный код - забота разработчиков антивирусов т.к. от этого зависит качество предлагаемого ими продукта и его предназначение. То, что антивирусы не в состоянии распознать модифицированный вирус, а могут только опознать упаковщик - результат профанации и деградации антивирусной индустрии, которая может лишь брать деньги за мифическую защиту.

Кто из них осмелится и скажет правду - "мы не можем"? Никто. Это равносильно самоубийству.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ASMax
Обфускаторами, помимо вредителей, ещё и нормальные кодеры пользуются.

Давайте ради группки выродков по честным людям бить!

<...>

Кстати, лично я за то, чтобы объявить TheMida вне закона. Но я против того, чтобы идти этим путём и дальше, то есть распространять опыт на Обфускаторы NET сборок!

Погоди, с какой это стати нужно темиду объявлять вне закона? :angry: Хороший коммерческий продукт, дело свое знает хорошо. И шароварщики ею реулярно пользуются. :)

Повторяю еще раз: обфускацию предлагается не детектить, а корректно раскручивать (т.е. снимать). Раскручивать и смотреть что же там внутри, под ней. Надеюсь такой подход не встретит возражений? :rolleyes:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ASMax
Однако когда в дело вступают обфускаторы-крипторы процессорного кода, которые позволяют любой вирус сделать неузнаваемым для ативирусов, то это ставит под сомнение целесообразность существования и покупки антивирусов. Сам факт их существования, так сказать.

А, скажем, существование недетектящегося вируса тоже ставит под сомнение целесообразность существования антивирусов? ;)

К вопросу, имхо, надо подходить более комплексно, не на частных случаях. Однако с тем, что в идеале антивирусом должен поддерживаться любой протектор или обфускатор - целиком и полностью согласен.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ramonsmaps
      Over the years of independence, the institute has trained more than 13000 physicians (including 800 clinical interns, 1116 masters, 200 postgraduates and 20 doctoral students) in various directions.

      870 staff work at the institute at present,[when?] including 525 professorial-teaching staff in 55 departments, 34 of them are Doctors of science and 132 candidates of science. 4 staff members of the professorial-teaching staff of the institute are Honoured Workers of Science of the Republic of Uzbekistan, 3 – are members of New-York and 2 – members of Russian Academy of Pedagogical Science.

      The institute has been training medical staff on the following faculties and directions: Therapeutic, Pediatric, Dentistry, Professional Education, Preventive Medicine, Pharmacy, High Nursing Affair and Physicians’ Advanced Training. At present[when?] 3110 students have been studying at the institute (1331 at the Therapeutic faculty, 1009 at the Pediatric, 358 at the Dentistry, 175 students at the Professional Education Direction, 49 at the faculty of Pharmacy, 71 at the Direction of Preventive Medicine, 117 ones study at the Direction of High Nursing Affair).

      Today graduates of the institute are trained in the following directions of master's degree: obstetrics and gynecology, therapy (with its directions), otorhinolaryngology, cardiology, ophthalmology, infectious diseases (with its directions), dermatovenereology, neurology, general oncology, morphology, surgery (with its directions), instrumental and functional diagnostic methods (with its directions), neurosurgery, public health and public health services (with its directions), urology, narcology, traumatology and orthopedics, forensic medical examination, pediatrics (with its directions), pediatric surgery, pediatric anesthesiology and intensive care, children's cardiology and rheumatology, pediatric neurology, neonatology, sports medicine.

      The clinic of the institute numbers 700 seats and equipped with modern diagnostic and treating instrumentations: MRT, MSCT, Scanning USI, Laparoscopic Center and others.

      There are all opportunities to carry out sophisticated educational process and research work at the institute.

      Source:
      https://adti.uz/magistratura/
      medical institutes of uzbekistan

      Tags:
      medical institutes of uzbekistan
      regional scientific medical library
      electronic library of a medical student
      electronic medical library official website
    • Dmitrius
      Сервис подбора и сравнение кредитов Случается так, что деньги нужны срочно. Поэтому если у вас нет накоплений, рациональней всего обратиться за помощью на этот сайт, где собраны надежные, проверенные банки, которым точно можно доверять. Учреждения подготовили лучшие предложения, которые только возможны. На этом сайте есть возможность подобрать кредит, а также оформить займ либо взять деньги на приобретение автомобиля. И самое главное, что все это на наиболее выгодных для вас условиях. Автокредит Казахстан проценты - это шанс купить все, что нужно, не отказывая себе в покупке. Все банковские продукты различаются требованиями, условиями выдачи, а потому рекомендуется детально изучить условия договора и особенности выдачи денежных средств. Потребительский кредит оформить (рассчитать) в Алматы получится в данный момент. На этом сайте вы сможете не только подобрать подходящий вариант, но и сравнить имеющиеся. Затем следует определиться с тем, в какой банк обратиться за материальной поддержкой. Составить заявку на выдачу средств можно в режиме реального времени. Кредит наличными заявка онлайн выдается в течение часа наиболее комфортным для вас способом. На портале опубликован список всех доступных предложений, имеется необходимая информация о каждом банке и кредитах. Выберете самую низкую процентную ставку, а также сумму и сроки, на которые планируете занять сумму. Все максимально просто, быстро и понятно. Ипотека проценты Казахстан (ипотека Казахстан) - это отличная возможность решить свои жилищные проблемы. Важно помнить о том, что лишь надежные компании с огромным опытом готовы предложить приемлемые условия. Выберете подходящий для себя банковский продукт, чтобы поправить материальное положение.
    • Dmitrius
      Интернет магазин автозапчастей  Интернет-магазин «AUTOSHOP» реализует внушительный выбор деталей на автомобили - их можно подобрать не только по наименованию, но и артикулу и другим параметрам. Имеются разные запчасти на любые автомобили самых разных марок и моделей - вы сможете их найти в один клик. Запчасти находятся на складе - это дает возможность осуществить быструю транспортировку. Сотрудничество исключительно с надежными, проверенными поставщиками, которые работают на совесть и предлагают продукцию безупречного качества и с длительными эксплуатационными сроками. Автозапчасти интернет магазин для иномарок рекомендует ознакомиться с полным ассортиментом – он даст возможность подобрать вариант с учетом обозначенных требований. Перед тем, как осуществить приобретение, необходимо детально изучить технические аспекты, ведь именно они влияют на сроки эксплуатации и внешний вид авто. Но если вам требуется помощь специалиста, то вы всегда можете воспользоваться профессиональной консультацией. Автозапчасти для иномарок Курск вы обязательно подберете для любой машины, несмотря на год производства. Изучите справочник автотоваров, каталог, а также новости, представленные на данную тематику - информация поможет принять правильное решение. Сотрудники интернет-магазина быстро реагируют на появление новых деталей в европейских магазинах для того, чтобы в ближайшее время пополнить ими свой ассортимент. Это даст возможность быстро среагировать за изменяющуюся ситуацию. Каталог автозапчастей Курск содержит огромный перечень деталей. Они созданы в соответствии с самыми высокими стандартами, нормами, требованиями. Администрация проверяет запчасти на соответствие заданным характеристикам, поэтому в продажу попадает только та продукция, которая имеет сопроводительную документацию, сертификаты. На продукцию есть гарантии, подтверждающие безупречное качество, оригинальность.
    • JamesBisee
      Купить газовый котел с закрытой камерой сгорания в Москве
      https://www.fire-flower.ru/
      https://www.google.tg/url?q=https://fire-flower.ru
    • PR55.RP55
      По всей видимости uVS не всегда может получить доступ к: Hosts Нужно чтобы в Лог писалась информация: "Нет доступа  к Hosts " Вроде сейчас uVS  соответствующих записей не создаёт?
×