Yersinia — шифруємо програми, тестуємо антивіруси

Не судіть суворо писати розгорнуто не вмію…

Довелося мені якось писати криптор. Ну, загалом, нічого особливого. Тільки от, в силу віртуалізації антивірусів, антивіруси клацають їх «на раз», просто запускаючи код в пісочниці і вже там аналізуючи його.

Пару годин поламавши голову, знайшов вихід (комерційна таємниця)). Головне — не дати пісочниці розшифрувати файл… Ну, плюс багато всяких штучок, які в теорії повинні заважати налагодженню та інша (хоча в реальності вони давно не працюють, або не скрізь працюють).

До речі, при генерації одного і того ж файлу на виході завжди виходить різні результати, тобто код зашифрованого файлу завжди різний, є різниця в заголовку (щоб не дати шансу сигнатурной перевірці) і в самому тілі (весь зашифрований код повністю різний при кожній зашифровке).

Правда, поки не всі програми можливо зашифрувати моєї тулзой, на деяких вона обламується (недоробка поки сирувата).

Єдиною проблемою в ході тестів виявилися непонятки з Symantec і Mcafee, які вважають файл зашифрованим. Ну так воно і є) адже тільки ось у чому біда — ця парочка рівно так само нервово реагує на чистий файл! Причому чистий файл має нічим не примітну ентропію — навіть картинка всередині ресурсів не стиснута, просто bmp. За якими ознаками вони вважають файли шкідливими я так і не зрозумів.

Відео з демонстрацією роботи:



Великий привіт ESET, McAffee і Касперському (на відео не потрапило) — ніхто не визначив таку легенду як Brontok) — VirusTotal.

Висновок взагалі сумний — одні реагують не на те, що треба, інші на те, що треба — не реагують…

p.s. Було у мене співбесіду, точніше, перед-спілкування по пошті з HR DrWeb — сказали, що на роботу тих, хто допомагав у писанні вірусів не беруть. Ось так от ) Як казав Кріс Касперски, щоб вміти захищати систему її треба спочатку навчиться ламати.
Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.