Сделал шифрование exe для себя. Помогло от антивирусов — они перестают распозновать exe, правда пока на сайт не выкладывал такую версию exe.
Если кому интересно могу сделать вэб морду для данного сервиса и продавать этот сервис.
Есть ли желающие ?
Ещё думаю сделать защиту от дебаггеров, нужно ли это вам ?
Если кто пользуется такими сервисами или софтом напишите плиз чем пользуетесь и сколько платите ?
Здравствуйте, maks1180, Вы писали:
M>Сделал шифрование exe для себя. Помогло от антивирусов — они перестают распозновать exe, правда пока на сайт не выкладывал такую версию exe. M>Если кому интересно могу сделать вэб морду для данного сервиса и продавать этот сервис. M>Есть ли желающие ? M>Ещё думаю сделать защиту от дебаггеров, нужно ли это вам ?
M>Если кто пользуется такими сервисами или софтом напишите плиз чем пользуетесь и сколько платите ?
Как только версия станет публичной, сигнатуры все равно будут добавлены антивирусами и появятся ложные срабатывания.
По началу, возможно, ложных срабатываний нет, но гарантий на будущее никаких.
Для решения проблемы ложных детектов целесообразнее, все таки, использовать подпись цифровым сертификатом.
Здравствуйте, maks1180, Вы писали:
M>Сделал шифрование exe для себя. Помогло от антивирусов — они перестают распозновать exe, правда пока на сайт не выкладывал такую версию exe. M>Если кому интересно могу сделать вэб морду для данного сервиса и продавать этот сервис. M>Есть ли желающие ? M>Ещё думаю сделать защиту от дебаггеров, нужно ли это вам ?
M>Если кто пользуется такими сервисами или софтом напишите плиз чем пользуетесь и сколько платите ?
Ну ёмаё. Шифрование и защита от дебага — как раз те функции, на которые антивири начнут триггериться рано или поздно.
M>Если кто пользуется такими сервисами или софтом напишите плиз чем пользуетесь и сколько платите ?
Лучше и нужнее сервис контроля антивирусов. Что нибудь чтобы иметь гарантированное понимание — установится твоя прога на комп клиента или нет.
у меня на протяжении месяца defender удалял программу после начала установки.
в вирус тотал было более менее чисто.
когда я сам скачивал дистриб все было норм
когда я устанавливал на своем компе было норм
но когда я догадался скачать и установить на имеющемся у меня VDS — получил срабатывание
E>Как только версия станет публичной, сигнатуры все равно будут добавлены антивирусами и появятся ложные срабатывания. E>По началу, возможно, ложных срабатываний нет, но гарантий на будущее никаких.
Если ключ шифрования менять постоянно и антивирусы не будет успевать сигнатуры менять.
E>Для решения проблемы ложных детектов целесообразнее, все таки, использовать подпись цифровым сертификатом.
Уже есть — не помогло и переписка с ними тоже не помогла.
Здравствуйте, maks1180, Вы писали:
E>>Как только версия станет публичной, сигнатуры все равно будут добавлены антивирусами и появятся ложные срабатывания. E>>По началу, возможно, ложных срабатываний нет, но гарантий на будущее никаких.
M>Если ключ шифрования менять постоянно и антивирусы не будет успевать сигнатуры менять.
Начало выполнения кода расшифровки все равно будет одинаковое для всех файлов, забанят по этому участку. Не по этому, так по другому. Никто разбираться с зашифрованными данными не будет, есть сигнатура -> черный список -> детект. Это не решение данного вопроса, это может помочь, но только по началу, очень недолго.
E>>Для решения проблемы ложных детектов целесообразнее, все таки, использовать подпись цифровым сертификатом.
M>Уже есть — не помогло и переписка с ними тоже не помогла.
У нас были прецеденты, когда пользователи играли настройками протектора, подписывали файл, загружали на virustotal, и так много много раз, пытаясь избавиться от какого-то незначительного ложного срабатывания. Как результат, начали появляться новые детекты, все более и более. Результатом стало каскадное ложное срабатывание, когда один антивирус создает детект только на основе ложного детекта другого. Если такое случилось, то да, сертификат на помойку, он уже находится во всех черных списках (хотя и незаслуженно), выход — только покупать новый сертификат.
Здравствуйте, maks1180, Вы писали:
M>Сделал шифрование exe для себя. Помогло от антивирусов — они перестают распозновать exe, правда пока на сайт не выкладывал такую версию exe. M>Если кому интересно могу сделать вэб морду для данного сервиса и продавать этот сервис. M>Есть ли желающие ? M>Ещё думаю сделать защиту от дебаггеров, нужно ли это вам ?
Я б в жизни не использовал такой сервис от малоизвестного поставщика. Хрен его знает, что он ещё там делает помимо шифрования. Вдруг вирус какой подмешивает или шпионскую програмку.
M>>Это легко проверить, там код увеличивается на 50 байт. Вирус не может так мало весить. Т.е. код который расшифровывает весит около 50 байт.
_>Это совсем не показатель. Хороший вирус может еще и уменьшить размер ехешника, упаковав его.
Хотя да, наверно возможно!
1 часть кода (50 байт) — расшифровывает 2-ую часть кода. 2 часть кода — распаковывает и расшифровывает остальной код.
_>Ну а вообще, это не новая тема. Например, ASProtect так мог делать, за это его очень любили изготовители всякой малвари. Поэтому абсолютно белые ехешники накрытые этой защитой стабильно детектились кучей антивирусов.
_>PS _>Ну и в принципе, вот по этим 50 байтам расшифровщика, антивирусы и будут детектить зашифрованные тобой ехешники. Если ты сделаешь, чтобы расшифровщик видоизменялся (морфировал), то им будет уже сложнее. Этим ты как раз изобретешь полиморфный вирус. Ну а раз уж пришел к этому, то грех не добавить в код шифруемого ехешника какой-нибудь майнер или бэкдор, для дополнительного заработка. Чего уж там стесняться то, раз уж вышел на эту скользкую дорожку.
Нет, это совсем разные дорожки с точки зрения закона зашифровать exe и добавить бэкдор.
Здравствуйте, maks1180, Вы писали:
D>>Ну ёмаё. Шифрование и защита от дебага — как раз те функции, на которые антивири начнут триггериться рано или поздно.
M>На моих тестах не триггерили, но было только шифрование.
Тут ключевое выражение "рано или поздно".
Хотя... с такой поправкой можно о каждой строчке кода сказать. Мне кажется, что у перечисленных фич вероятность триггера будет повыше.
M>>Если ключ шифрования менять постоянно и антивирусы не будет успевать сигнатуры менять.
E>Начало выполнения кода расшифровки все равно будет одинаковое для всех файлов, забанят по этому участку. Не по этому, так по другому. Никто разбираться с зашифрованными данными не будет, есть сигнатура -> черный список -> детект. Это не решение данного вопроса, это может помочь, но только по началу, очень недолго.
Код для расшифровки — очень маленький, и его тоже можно менять на уровни аналогичных ассемблерных команд.
И если они по такому маленькому коду будет детектить, то у них будет много ложных срабатываний на другой софт.
Pzz>Я б в жизни не использовал такой сервис от малоизвестного поставщика. Хрен его знает, что он ещё там делает помимо шифрования. Вдруг вирус какой подмешивает или шпионскую програмку.
Это легко проверить, там код увеличивается на 50 байт. Вирус не может так мало весить. Т.е. код который расшифровывает весит около 50 байт.
Здравствуйте, maks1180, Вы писали: M>Это легко проверить, там код увеличивается на 50 байт. Вирус не может так мало весить. Т.е. код который расшифровывает весит около 50 байт.
Это совсем не показатель. Хороший вирус может еще и уменьшить размер ехешника, упаковав его.
Ну а вообще, это не новая тема. Например, ASProtect так мог делать, за это его очень любили изготовители всякой малвари. Поэтому абсолютно белые ехешники накрытые этой защитой стабильно детектились кучей антивирусов.
PS
Ну и в принципе, вот по этим 50 байтам расшифровщика, антивирусы и будут детектить зашифрованные тобой ехешники. Если ты сделаешь, чтобы расшифровщик видоизменялся (морфировал), то им будет уже сложнее. Этим ты как раз изобретешь полиморфный вирус. Ну а раз уж пришел к этому, то грех не добавить в код шифруемого ехешника какой-нибудь майнер или бэкдор, для дополнительного заработка. Чего уж там стесняться то, раз уж вышел на эту скользкую дорожку.
Здравствуйте, maks1180, Вы писали:
M>Это легко проверить, там код увеличивается на 50 байт. Вирус не может так мало весить. Т.е. код который расшифровывает весит около 50 байт.
Можно ж поджать, потом зашифровать. Так место и появится.
Здравствуйте, maks1180, Вы писали:
M>Код для расшифровки — очень маленький, и его тоже можно менять на уровни аналогичных ассемблерных команд.
А вот это уже выглядит как малварь Типа подписано одним и тем же ключом, behavior profile тот же самый, но лоадер полиморфный ... и превед, хрен отмоешься потом.
Здравствуйте, maks1180, Вы писали:
M>Это легко проверить, там код увеличивается на 50 байт. Вирус не может так мало весить. Т.е. код который расшифровывает весит около 50 байт.
Либо там не 50 байт, а он просто жмет оригинальный код перед шифрованием и в освободившееся место пишет хитрую лабубу.
На любой аргумент в пользу можно придумать кейс против. Единственный способ — это поставлять шифровалку в исходниках.
Здравствуйте, maks1180, Вы писали:
I>>да им насрать, сколько раз уже сталкивался что на детект может влиять какой-то компонент Delphi или иконка из готового набора
M>Интересно насколько реально выиграть суд у антивирусной компании за ложный детект ?
M>>Это легко проверить, там код увеличивается на 50 байт. Вирус не может так мало весить. Т.е. код который расшифровывает весит около 50 байт.
W>Либо там не 50 байт, а он просто жмет оригинальный код перед шифрованием и в освободившееся место пишет хитрую лабубу.
Мой код жать пока не умеет, только шифровать умеет и добавляет код 50 байт который расшифровывает код и данные.
W>На любой аргумент в пользу можно придумать кейс против. Единственный способ — это поставлять шифровалку в исходниках.
Если открыть исходники, как тогда продавать этот продукт ?
Здравствуйте, maks1180, Вы писали:
M>Если открыть исходники, как тогда продавать этот продукт ?
Так же как и бинарник. Если подумать, то разницы особой нет.
1. Открывать их тем, кто заплатил и ограничивать распространение лицензией.
2. Открывать всем, но в лицензию прописать некоммерческое использование и продавать на него права отдельно.
Но на практике и то, и другое тухляк. Даже при правильном маркетинге, объем продаж скорее всего будет около нуля.
Здравствуйте, maks1180, Вы писали:
M>>>Интересно насколько реально выиграть суд у антивирусной компании за ложный детект ?
I>>пока никто не смог
M>Кто пробовал ? M>Кто пробовал в РФ ?
Здравствуйте, maks1180, Вы писали:
M>Сделал шифрование exe для себя. Помогло от антивирусов — они перестают распозновать exe, правда пока на сайт не выкладывал такую версию exe. M>Если кому интересно могу сделать вэб морду для данного сервиса и продавать этот сервис. M>Есть ли желающие ? M>Ещё думаю сделать защиту от дебаггеров, нужно ли это вам ?
Мутный сервис от мутного неизвестно кого?
M>Если кто пользуется такими сервисами или софтом напишите плиз чем пользуетесь и сколько платите ?
M>>Если открыть исходники, как тогда продавать этот продукт ?
W>Так же как и бинарник. Если подумать, то разницы особой нет.
W>1. Открывать их тем, кто заплатил и ограничивать распространение лицензией. W>2. Открывать всем, но в лицензию прописать некоммерческое использование и продавать на него права отдельно.
W>Но на практике и то, и другое тухляк. Даже при правильном маркетинге, объем продаж скорее всего будет около нуля.
Я бинарник не хотел продавать, хотел сервис продавать, т.е. через сайт что-бы клиент закидывал свой exe и получил зашифрованный exe.
Здравствуйте, maks1180, Вы писали:
M>Я бинарник не хотел продавать, хотел сервис продавать, т.е. через сайт что-бы клиент закидывал свой exe и получил зашифрованный exe.
Не очень идея. Мало ли чего твой сервис туда нашифрует.
Здравствуйте, maks1180, Вы писали:
M>Если кому интересно могу сделать вэб морду для данного сервиса и продавать этот сервис.
Сюжет, который вы затронули, нужно рассматривать как защиту интеллектуальной собственности,
а не как шкатулку от антивирусов. Ибо в первом случае к вам будут тянуться люди со светлой стороны,
в то время как во втором случае — вирусописатели.
