Много времени потратил на исследование по антивирусам, вот к чему я пришёл:
-если закриптовать exe собстенным алгоритмом, антивирусы НЕ срабатывают локально на компе (протестировал на 10 бесплатных или триальных версиях), это означает, что они не проверяют память процесса, что-бы комп не тормозил
-на virus total 2 антивируса определяют, это Nod32 и Symantec, они именно сканируют память после того как он сам себя расшифровал. Думаю через какое-то время они передадут на локальные компы сигнатуру и локально начнут срабатывать.
Решение следующее: exe должен подключиться к своему серверу за ключём, что-бы расшифровать себя, сервер должен понять если это реальный клиент, то отдать ему ключ, если это кто-то балуется, то не давать ключ для расшифровки.
Осталось только понять как отличить реального клиента. Но мысли есть по этому поводу.
Как вам такое решение ?
Если ли тут желающие купить такое решение ?
Здравствуйте, maks1180, Вы писали:
F>>"На каждого мудреца довольно простоты." Зачем городить такой огород? ]
+1
M>Что-бы антивирусы не детектили.
В white-list-ы прописаться?
По-моему, бороться с антивирусами на их поле бесполезно. Они тупо возьмут числом.
Здравствуйте, temnik, Вы писали:
M>>Все чаще встречаю на сраничках скачивания предупреждения о False positive антивирусов.
T>Излюбленная отмазка вирусораспространителей...
Встречал даже на гитхабе с OpenSource программой на готовый экзешник и сама программа еще с 2006-го года. Просто автор не желает тратить свои силы на доказывание, что он не верблюд и считает, что кому надо воспользуются.
От кого защищаемся таким способом?
Антивирусы не полагаются только на проверку файла, а смотрят что реально приложение делает.
Даже если всё зашифровать в конце концов нужно вызвать функции ОС так или иначе, и тут антивирус поймёт, что реально происходит.
Здравствуйте, _NN_, Вы писали:
_NN>Здравствуйте, maks1180, Вы писали:
_NN>От кого защищаемся таким способом? _NN>Антивирусы не полагаются только на проверку файла, а смотрят что реально приложение делает. _NN>Даже если всё зашифровать в конце концов нужно вызвать функции ОС так или иначе, и тут антивирус поймёт, что реально происходит.
а также антивирусы и гугловские проверки в хроме и аналог в яндекс браузере смотрят энтропию проверяемого кода
как-то тестил и получал баны на домен при применении стойкой криптографии просто на текст войны и мира
другими словами нечто шумоподобное тем не менее как-то работающее крайне подозрительно ибо обычный код не так сильно зашумлен.
то есть любая реально сильная защита кода будет детектиться как вирус независимо от того есть внутри вирус или нет даже возможно и без запуска на исполнение. И никаких сигнатур вообщее не надо.
Такой метод современных антивирусов ставит крест на любых защитах и означает окончательную победу антивирусов.
всех загонят в опен сорс.
Здравствуйте, paradoks, Вы писали:
P>то есть любая реально сильная защита кода будет детектиться как вирус независимо от того есть внутри вирус или нет даже возможно и без запуска на исполнение. И никаких сигнатур вообщее не надо.
"сильные защиты" это не крипт кода EXEшника. Последнее — это говно и не защита вовсе.
PS: политиками винды можно вообще запретить приложению выделять исполняемую память. Обычный софт не пострадает. А подобные говноподелия — ну туда им и дорога.
Здравствуйте, IID, Вы писали:
IID> PS: политиками винды можно вообще запретить приложению выделять исполняемую память. Обычный софт не пострадает. А подобные говноподелия — ну туда им и дорога.
P>то есть любая реально сильная защита кода будет детектиться как вирус независимо от того есть внутри вирус или нет даже возможно и без запуска на исполнение. И никаких сигнатур вообщее не надо.
Я протестировал на 10 бесплатных или триальных версиях, exe с полным шифрованием, они НЕ ругались.
IID>PS: политиками винды можно вообще запретить приложению выделять исполняемую память. Обычный софт не пострадает. А подобные говноподелия — ну туда им и дорога.
Там в exe прописано, что секции с исполнением и записью.
_NN>От кого защищаемся таким способом? _NN>Антивирусы не полагаются только на проверку файла, а смотрят что реально приложение делает. _NN>Даже если всё зашифровать в конце концов нужно вызвать функции ОС так или иначе, и тут антивирус поймёт, что реально происходит.
В моём случаи приложение делает тоже самое что и конкуренты, но на конкурентов не реагирует.
Здравствуйте, IID, Вы писали:
IID> PS: политиками винды можно вообще запретить приложению выделять исполняемую память. Обычный софт не пострадает. А подобные говноподелия — ну туда им и дорога.
Кстати, самый обычный софт на Delphi выделяет исполняемую память.