Некоторое время назад нас стали доставать периодические репорты на вирустотале.
Мы не очень расстраивались по этому поводу, просто слали просьбу убрать false-positive производителям антивируса и они убирали.
Но время идет и стали появляться совсем отмороженные на голову антивири. Мы по совету Ивана (VMP) не обращали на них особого внимания, да и репорты их удавалось убрать пересобрав защищенный екзешник. Но время идетт и методы Костей Сапрыкиных становятся все безобразнее.
Некоторые просто начинают забивать на фолс репорты, некоторые вообще никак не идут на контакт.
На пример есть вот такой сервис: hybrid-analysis.com там наличие защиты VMProtect просто указано как Malicious Indicator: https://snag.gy/pVTjSG.jpg
Похоже все идет к тому, чтобы написать собственную защиту и отказаться от использования VMProtect
Что скажете — присоветуете?

П.С. Забить не вариант, ибо это сервис весьма распространенного в корпоративной среде антивируса в США.

Здравствуйте, Supporter, Вы писали:

S>Что скажете — присоветуете?
Кмк, собственная защита также будет выдавать фалсы.

S>П.С. Забить не вариант, ибо это сервис весьма распространенного в корпоративной среде антивируса в США.

А если часть кода выполнять на сервере? Тогда и защита не нужна?

Здравствуйте, Supporter, Вы писали:

S>Похоже все идет к тому, чтобы написать собственную защиту и отказаться от использования VMProtect
S>Что скажете — присоветуете?

1) Отсутствие защиты — минус очень много денег. Слабая защита — минус много денег. Сильная защита — нет потерь, все потенциальные потребители покупают лицензии, потому что кряков нет и активировать один ключ на куче машин нельзя.
2) Готовая защита стоит денег. Написание своей защиты стоит б́ольших денег, но она апрори будет слабой. Написание своей сильной защиты стоит еще б́ольших денег, а также требует времени, которое программеры могли бы потратить на развитие фич.
3) Наличие защиты в любом виде не понравится антивирусам. Слабая защита — и антивирусы будут слабо бузить, сильная защита — число фолсов вырастает.

Отсюда выводы:
1) Определить, сколько денег вы будете терять при полном отсутствии защиты, слабой защите, сильной. Посчитать, сколько будет стоить своя защита. Подумать, какой сценарий будет для вас выгоден.
2) ПИНАТЬ АНТИВИРУСНИКОВ ДО ТЕХ ПОР, ПОКА У НИХ НЕ НАСТАНЕТ ПОЛНОЕ ПРОСВЕТЛЕНИЕ!!! Потому что они за свои действия и фолсы не отвечают, а потом из-за этих фолсов у людей отзывают сертификаты подписи.

Здравствуйте, falcoware, Вы писали:

F>А если часть кода выполнять на сервере? Тогда и защита не нужна?

1) Держать зоопарк серверов для этого стоит денег.
2) Программа, которая лазает в интернет, — потенциальный вирус. Получите очередной фолс...

Здравствуйте, salnicoff, Вы писали:

S>2) ПИНАТЬ АНТИВИРУСНИКОВ ДО ТЕХ ПОР, ПОКА У НИХ НЕ НАСТАНЕТ ПОЛНОЕ ПРОСВЕТЛЕНИЕ!!! Потому что они за свои действия и фолсы не отвечают, а потом из-за этих фолсов у людей отзывают сертификаты подписи.
Ты предлагаешь юридически это делать?

Здравствуйте, Kernan, Вы писали:

S>>2) ПИНАТЬ АНТИВИРУСНИКОВ ДО ТЕХ ПОР, ПОКА У НИХ НЕ НАСТАНЕТ ПОЛНОЕ ПРОСВЕТЛЕНИЕ!!! Потому что они за свои действия и фолсы не отвечают, а потом из-за этих фолсов у людей отзывают сертификаты подписи.
K>Ты предлагаешь юридически это делать?

Сначала через фидбэк. Постить каждый день по нескольку тикетов о фолсах. Можно не от себя, а от условного Джона Джексона.

Здравствуйте, salnicoff, Вы писали:

S>Сначала через фидбэк. Постить каждый день по нескольку тикетов о фолсах.
В спам перенаправят и всё.
S>Можно не от себя, а от условного Джона Джексона.
А смысл?

Здравствуйте, salnicoff, Вы писали:

S>Здравствуйте, falcoware, Вы писали:

F>>А если часть кода выполнять на сервере? Тогда и защита не нужна?

S>1) Держать зоопарк серверов для этого стоит денег.
S>2) Программа, которая лазает в интернет, — потенциальный вирус. Получите очередной фолс...

Абсолютно согласен, на опыте проверено. Пункт №2 уже городит массу проблем

Здравствуйте, Kernan, Вы писали:

K>Здравствуйте, salnicoff, Вы писали:

S>>Сначала через фидбэк. Постить каждый день по нескольку тикетов о фолсах.
K>В спам перенаправят и всё.
S>>Можно не от себя, а от условного Джона Джексона.
K>А смысл?

Чтобы не было

В спам перенаправят и всё.

Здравствуйте, Kernan, Вы писали:

K>Кмк, собственная защита также будет выдавать фалсы.

с чего?

Здравствуйте, salnicoff, Вы писали:

S>1) Отсутствие защиты — минус очень много денег.нельзя.
S>2) Готовая защита стоит денег.потратить на развитие фич.
S>3) Наличие защиты в любом виде не понравится антивирусам.

Отсюда выводы:

отключаем часть функционала, полную версию даем скачивать после покупки
— бесплатно
— не злит антивирусы

ты не представляешь как бомбит на варезных форумах после выхода новой версии с удаленным функционалом
в прямом эфире наблюдаю как "гениальный" хакер пытается сломать программу

Здравствуйте, salnicoff, Вы писали:

S>Отсюда выводы:
S>1) Определить, сколько денег вы будете терять при полном отсутствии защиты, слабой защите, сильной. Посчитать, сколько будет стоить своя защита. Подумать, какой сценарий будет для вас выгоден.

судя по новостям про denuvo, wmprotect сейчас ломают за часы.
поэтому монопенисуально какая защита, сломают любую при желании, а вот фолсы на сложную защиту это потерянные потенциальные клиенты, не говоря уже о теоретической вероятности потерять сертификат и отыквить всё что уже есть в сети.

Здравствуйте, icezone, Вы писали:


I>ты не представляешь как бомбит на варезных форумах после выхода новой версии с удаленным функционалом
I>в прямом эфире наблюдаю как "гениальный" хакер пытается сломать программу

а что вы делайте когда кто то выкладывает рабочий дистрибутив в обменик

Здравствуйте, uuuser, Вы писали:

U>Здравствуйте, Kernan, Вы писали:

K>>Кмк, собственная защита также будет выдавать фалсы.

U>с чего?

Если она примитивна, типа

if (key = '123') then [full version] else [show nag screen]

тогда фолсов почти не будет. Если же в самопальной защите детектить наличие дебаггера, реализовывать виртуальную машину и делать прочие вещи, которые встречаются в покупной защите, — тогда фолсы косяками попрут.

Здравствуйте, Supporter, Вы писали:

S>Некоторое время назад нас стали доставать периодические репорты на вирустотале.
S>Мы не очень расстраивались по этому поводу, просто слали просьбу убрать false-positive производителям антивируса и они убирали.
S>Но время идет и стали появляться совсем отмороженные на голову антивири. Мы по совету Ивана (VMP) не обращали на них особого внимания, да и репорты их удавалось убрать пересобрав защищенный екзешник. Но время идетт и методы Костей Сапрыкиных становятся все безобразнее.
S>Некоторые просто начинают забивать на фолс репорты, некоторые вообще никак не идут на контакт.
S>На пример есть вот такой сервис: hybrid-analysis.com там наличие защиты VMProtect просто указано как Malicious Indicator: https://snag.gy/pVTjSG.jpg
S>Похоже все идет к тому, чтобы написать собственную защиту и отказаться от использования VMProtect
S>Что скажете — присоветуете?

S>П.С. Забить не вариант, ибо это сервис весьма распространенного в корпоративной среде антивируса в США.

Я бы предложил делать так: перед компиляцией екзешника в протекторе прогнать его через вирустотал, сделать скриншот отчёта. На сайте Download написать о ложных срабатываниях, по ссылке дать этот скриншот.
Это если проблема реально беспокоит, лично мне пока не требуется выкладывать скриншот, остальное я уже делаю. Пусть юзеры хоть отключают у себя антивирус, когда надо запустить программу.

Здравствуйте, Supporter, Вы писали:

S>Некоторое время назад нас стали доставать периодические репорты на вирустотале.
S>Мы не очень расстраивались по этому поводу, просто слали просьбу убрать false-positive производителям антивируса и они убирали.
S>Но время идет и стали появляться совсем отмороженные на голову антивири. Мы по совету Ивана (VMP) не обращали на них особого внимания, да и репорты их удавалось убрать пересобрав защищенный екзешник. Но время идетт

А кстати, что с false positive при использовании других протекторов
— obsidium
— winlicense
— enigma

К слову на Armadillo практически нет фолсов.

Здравствуйте, Matrix_Failure, Вы писали:

M_F>К слову на Armadillo практически нет фолсов.

а его кто нибудь еще поддерживает

Здравствуйте, salnicoff, Вы писали:
S>>Похоже все идет к тому, чтобы написать собственную защиту и отказаться от использования VMProtect
S>>Что скажете — присоветуете?
S>1) Отсутствие защиты — минус очень много денег. Слабая защита — минус много денег. Сильная защита — нет потерь, все потенциальные потребители покупают лицензии, потому что кряков нет и активировать один ключ на куче машин нельзя.
S>2) Готовая защита стоит денег. Написание своей защиты стоит б́ольших денег, но она апрори будет слабой. Написание своей сильной защиты стоит еще б́ольших денег, а также требует времени, которое программеры могли бы потратить на развитие фич.
S>3) Наличие защиты в любом виде не понравится антивирусам. Слабая защита — и антивирусы будут слабо бузить, сильная защита — число фолсов вырастает.

Ну тут наверное не так все однозначно. Мы отказались от VMProtect именно из большого числа проблем с антивирусниками, кстати тут я публиковал код

Автор: Черный Властелин
Дата: 19.12.18

, которым можно обрабатывать лицензионные ключи VMProtect'a самостоятельно.

В результаты продажи практически не изменились и исчезли фроды с кредитками. Видимо кул-хацкеры теперь просто качают крякнутую версию, вместо покупки по ворованной карте.

Тем не менее фолсы антивирусов продолжают возникать, хотя и в меньшем количестве. Причем есть антивирусники с альтернативной сексуальной ориентацией, которым насрать на фолсы — мы их прямо упоминаем в статье "Что делать если вы (думаете что) нашли вирус в нашем продукте"

Здравствуйте, salnicoff, Вы писали:

K>>>Кмк, собственная защита также будет выдавать фалсы.
U>>с чего?

S>Если она примитивна, типа
S>

S>if (key = '123') then [full version] else [show nag screen]
S>

S>тогда фолсов почти не будет. Если же в самопальной защите детектить наличие дебаггера, реализовывать виртуальную машину и делать прочие вещи, которые встречаются в покупной защите, — тогда фолсы косяками попрут.

зачем весь это геморрой если он уже есть в том же vmprotect?