Перейти к содержанию
dr_dizel

Поддержка упаковщика TheMida

Recommended Posts

Deja_Vu
Придираетесь очень даже.

Большинство продуктов в себе совмещают разные технологии. Те же антивирусные продукты нельзя назвать чистыми антивирусами: тут вам и поведенческие анализаторы, мониторы реестра, фаерволы и т.п. Каждый термин - как идеальный газ - существует только в головах.

Так и TheMida - комплекс технологий, в которые входит виртуализация, упаковка, шифрование, антиотладка и т.п. Когда мы говорим о ней одним словом - пакер (например), то подразумеваем то, что она модифицирует код программ, заворачивает в обёртку так сказать. Тот же вирустотал обзывает её пакером, но она и криптор, и виртуализатр и т.п. Мы можем выделять её какую-то особенность из числа других, и называть тем же антиотладчиком. Это не будет ошибкой.

А когда я говорил про запаковку любого вируса, то конечно же это речь шла об общем случае. Мы не рассматриваем частные. Если сказать: "большинство вирусов после упаковки (примечание: TheMida и Obsidium - обсуждение в теме) перестанет детектится" - то это вас устроит? Но ситуацию это не изменит.

господи боже ... меня не устроило только одно, что вы TheMida назвали обфускатором - коим она не является. Это как архиватор назвать обфускатором.

И то.. мне захотелось вас поправить, т.к. тема зашла про то что, понимаете ли, обфускаторы вирусы начали скрывать. Что по моему мнению

не вытекает из-за того, что тут одной программкой "защитили" парочку вирусов.

Остальные ваши разглагольствования, про смесь в одном продукте всего ... дает этому продукту называться чем угодно, оставте при себе.

Ибо Антивирус - сокращенно от Система Защиты от Вирусов (во что и входит Фаервол, Монитор и т.п.)

Но назвать Антивирус Фаерволом так же нелепо, как TheMidia обфускатором.

====

p.s.

Читая техническую литературу, начинаешь понимать, что такие мелочи достаточно важны.

И если для вас термины "обфускатор" и "антиотладчик" (аля "способ" и "принцип") не имеют различай, то это ваше дело, для меня это не имеет значения.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy
Уж столько этих терминов развелось. biggrin.gif

И не говорите. И появились они не сегодня, нехорошие. И приходится их изучать при участии в дискуссиях по теме :)

Но антивирусы на то и антивирусы, что должны уметь распаковывать всё. А сигнатурный детект и много чего ещё - это прошлый век.

Сигнатуры - понятие растяжимое. В первоначальном смысле они в прошлом веке и остались. Сейчас есть записи вирусной базы, каждой из которых можно сделать столько, сколько пожелает разработчик.

Ну и конечно при добавлении известного, но запакованного вируса, как нового - отдельной сигнатурой, вы увеличиваете общее число вирусов "детектируемых" данным антивирусом. Это даже выгодно - не поддерживать упаковщик. wink.gif

Снова показываете незнание темы. Добавлять лишние записи в базу - не выгодно. Больше записей - больше ресурсов компьютера занимает работа с такой базой. Лучше только в маркетинговом плане. Но любой маломальски объективный тест на детект эту иллюзию разрушает.

И особенно он выручает при необходимости давать короткие быстрые оценки:

Быстрые оценки, как правило, бывают неточными. Особенно если не понимать основ функционирования антивирусов ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ASMax
А вот если добавлять или отнимать единички за пакеры, то это не учитывает размер K.

Нужно: 1 * U[k] * K + -1 * U[n] * K.

:rolleyes:

То, что появилась единичка, отвечающая за поддерживаемые пакеры - это правильно, более объективно! :)

Осталось только разобраться с N и К. :D Представим себе некий антивирус A, который знает лишь 1 вирус, и некий антивирус Б, который знает 100 вирусов, причем оба они знают по 2 пакера, а всего в мире существует 5 пакеров. Считаем очки:

A: 1*2*1 - 1*3*1 = -1

Б: 1*2*100 - 1*3*100 = -100

Ну-с, неужто нравится? :rolleyes:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dr_dizel
То, что появилась единичка, отвечающая за поддерживаемые пакеры - это правильно, более объективно! :)

...

Ну-с, неужто нравится? :rolleyes:

Ну, ладно-ладно. Уговорили. Будем в %-х считать.

Catch = (U[k]+1)*K

Pass = U[n]*K

All = Catch + Pass = 100%

Catch% = Catch * 100 / All

Pass% = Pass * 100 / All

(Ni)Zachot% = Catch% - Pass%

Коэффициент должен быть либо положительным (+), либо отрицательным (-) т.е. зачот и низачот соответственно.

А знает 1 вирус, Б - 100, оба 3 пакера, всего 10 пакеров.

A:

Catch = (3+1)*1 = 4

Pass = 7*1 = 7

All = 4 + 7 = 11

Catch% = 4 * 100 / 11 = 36,4

Pass% = 7 * 100 / 11 = 63,6

Nizachot% = 36,4 - 63,6 = -27,2

B:

Catch = (3+1)*100 = 400

Pass =7 *100 = 700

All = 400 + 700 = 1100

Catch% = Catch * 100 / All

Pass% = Pass * 100 / All

Catch% = 400 * 100 / 1100 = 36,4

Pass% = 700 * 100 / 1100 = 63,6

Nizachot% = 36,4 - 63,6 = -27,2

Теперь объективнее. Получаем (ни)зачотную эффективность баз антивирусов с учётом поддерживаемых упаковщиков.

Никто не знает где взять инфу по поддержке пакеров в касперском и Вэбе?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
IT-Shark

Здравствуйте все!

У меня тут малленькое предложеньице родилось - Вы меня не выслушаете?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dr_dizel
...Вы меня не выслушаете?

Нет. Дождитесь пятницы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Deja_Vu
Коэффициент должен быть либо положительным (+), либо отрицательным (-) т.е. зачот и низачот соответственно.

А знает 1 вирус, Б - 100, оба 3 пакера, всего 10 пакеров.

A:

Catch = (3+1)*1 = 4

Pass = 7*1 = 7

All = 4 + 7 = 11

Catch% = 4 * 100 / 11 = 36,4

Pass% = 7 * 100 / 11 = 63,6

Nizachot% = 36,4 - 63,6 = -27,2

B:

Catch = (3+1)*100 = 400

Pass =7 *100 = 700

All = 400 + 700 = 1100

Catch% = 400 * 100 / 1100 = 36,4

Pass% = 700 * 100 / 1100 = 63,6

Nizachot% = 36,4 - 63,6 = -27,2

Теперь объективнее. Получаем (ни)зачотную эффективность баз антивирусов с учётом поддерживаемых упаковщиков.

Т.е. продукты одинакого не эффективны? :blink:

да и цифры странные какие то ... разве по условию задачи взяты?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
IT-Shark
Нет. Дождитесь пятницы.

:) Очередной повод похоливарить? Ню, ню...

Простите, а с какой стати я должен ждать пятницы? У меня нормальное деловое предложение, направленное на ликвидацию таких вот эксцессов.

Эксцессов типа Unmanaged Packers.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
IT-Shark

Итак. Для избежания подобных эксцессов необходимо контактировать с разработчиками софта, заимствуя (покупая, как договорятся) их алгоритмы упаковки - распаковки и используя их в АВ продуктах. Кто-то возразит: "Это не имеет смысла!"

я отвечу: "Имеет!". Имеет хотя бы потому, что одним и тем же продуктом могут пользоваться как добропорядочные кодеры, так и злоумышленники.

Кроме того, не надо забывать, что существует прослойка Пользователей, для которых любое ворчание Антивируса означает немедленное "убийство" программы!

Я утверждал, утверждаю и бду утверждать: детект поверх - громадное заблуждение!

А если кто-то отказался предоставить свой Алгоритм - тогда надо поднимать длань и репу чесать...

И думать: "А не тут ли собака порылась?" B)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

Тогда разработчики на радостях будут писать все новые и новые пакеры/крипторы/etc и тут же предлагать их купить вендорам. Выгодный бизнес получится.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy
детект поверх - громадное заблуждение!

Даже если планируется реализовать в антивирусе распаковщик, но вирусы, упакованные им, уже появляются ITW?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dr_dizel
Т.е. продукты одинакого не эффективны? :blink:

да и цифры странные какие то ... разве по условию задачи взяты?

По условиям старой задачи выходило бы у обоих 0 - не так наглядно. Новая задача аналогична.

И да - оба антивируса одинаково низачотны не относительно друг-друга, а относительно эффективности обнаружения соласно записям в их базах с учётом поддерживаемых ими упаковщиков.

Сравнивать же их можно, например, ассоциировав наибольший All (все вирусы) со 100%.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
IT-Shark
Тогда разработчики на радостях будут писать все новые и новые пакеры/крипторы/etc и тут же предлагать их купить вендорам. Выгодный бизнес получится.

Другой вариант - нанять Кракеров для взлома кода. Только здесь есть одно громадное НО: Антивирусы и Кракеры - две вещи несовместные!

А Вы можете предложить подходящий вариант?

Детект поверх не предлагать!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Виталий Я.
Ибо Антивирус - сокращенно от Система Защиты от Вирусов (во что и входит Фаервол, Монитор и т.п.)

Нет уж, давайте различать. Есть привычные для уха антивирусные решения (комплексные антивирусы), но защита как таковая ведется по всем фронтам - не от вирусов, а от угроз ИТ-безопасности, коим несть числа.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Deja_Vu
Нет уж, давайте различать. Есть привычные для уха антивирусные решения (комплексные антивирусы), но защита как таковая ведется по всем фронтам - не от вирусов, а от угроз ИТ-безопасности, коим несть числа.

не вырывайте из контекста... :P

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dr_dizel
...А Вы можете предложить подходящий вариант?..

Как вариант - просто тупо детектить эти пакеры как вредоносы

(можно даже с таким сообщением на пол экрана: АХТУНГ! ОБНАРУЖЕН МЕГАВИРУС!!!)

:lol:

. Тогда разработчики сих коммерческих пакеров (etc.) взмолятся и сами предложат алгоритм на вполне предсказуемых условиях.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dr_dizel
не вырывайте из контекста... :P

Контентщик вы наш... Ну а вы как обзовёте Themida?

Да и у Ледовского как-то всё мутно... то они добавляют записи поверх, то нет т.к. это же невыгодно. А время-то идёт. Пока распаковщика (хотя бы до логического уровня) нет - "галактико опасносте!"

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

IT-Shark

Альтернативный вариант уже давно предложен и вовсю используется той же Авирой. 8-ка Касперского тоже будет иметь эту альтернативу, отключенную по умолчанию.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
IT-Shark
IT-Shark

Альтернативный вариант уже давно предложен и вовсю используется той же Авирой. 8-ка Касперского тоже будет иметь эту альтернативу, отключенную по умолчанию.

Намекните тогда уж. А то что-то некомфортно осознавать, что может [ну Вы все понимаете] настать!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ASMax
Итак. Для избежания подобных эксцессов необходимо контактировать с разработчиками софта, заимствуя (покупая, как договорятся) их алгоритмы упаковки - распаковки и используя их в АВ продуктах.

Если говорить именно об алгоритмах декомпрессии, то их авторы как правило их и не скрывают. Если же говорить об алгоритмах обфускации, то обратных преобразований у авторов просто-напросто нету. Им нечего отдавать антивирусным компаниям.

Для иллюстрации могу привести слова одного широко известного в узких кругах автора мощного обфускатора-виртуализатора:

- А вы не могли бы восстановить обратно код, обработанный вашей утилитой?

- С ума сошли??? Вы знаете что там внутри???

Другой вариант - нанять Кракеров для взлома кода. Только здесь есть одно громадное НО: Антивирусы и Кракеры - две вещи несовместные!

Побольше уважения к крякерам! :angry::D

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Kokunov Aleksey
Теперь объективнее. Получаем (ни)зачотную эффективность баз антивирусов с учётом поддерживаемых упаковщиков.

Никто не знает где взять инфу по поддержке пакеров в касперском и Вэбе?

http://forum.kaspersky.com/index.php?s=&am...st&p=250903

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

IT-Shark

Вариант - ругаться на все "непонятное" (пакованное, криптованное и т.д. что не поддается "вскрытию").

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dr_dizel

Уже в свободном доступе стали пробегать распаковщики TheMida: http://www.mediafire.com/?123ylt1piyj

Если судить по дате заливки, то уже неделю как начали.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
IT-Shark
IT-Shark

Вариант - ругаться на все "непонятное" (пакованное, криптованное и т.д. что не поддается "вскрытию").

Отказать!

Пока не переведутся параноики - такой метод неприменим!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

IT-Shark

Ну так по умолчанию отключено.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×