 |
|
SEO статьи - блог от создателя FuckAV | KOROVKA.so | Качественный VPN Service MultiVPN - PPTP/OpenVPN/DoubleVPN
| Наш Jabber-сервер расположен по адресу fuckav.in. Добро пожаловать!!! |
|
|||||||
| Зона анализа софта Раздел для анализа подозрительного софта |
| Для того, чтобы ответить в теме, необходимо зарегистрироваться. |
|
|
Опции темы | Опции просмотра |
11-07-2013
|
#1 | ||||
Тест АВ-сканеров на слив
Юзером Multik были предоставлены билды для теста (закриптованный уфр, работающий локально).
Цитата:
Цитата:
Цитата:
Цитата:
Замеченные косяки: Скрытый текстНа втором этапе у виртеста отвалился лог чека.
А во время повторного скана произошла вот такая ситуация: Дальше, непонятные детекты у АвДетекта [Ссылки могут видеть только зарегистрированные пользователи.]: А вот и сами файлы [Ссылки могут видеть только зарегистрированные пользователи.] PASS: **** Можете палить их. // Убрал ссылку. Мультик ругается =( Итог: сливов не замечено зы: вирустотал не в счет. Речь идет о платных сервисах. |
|||||
|
|
|
11-07-2013
|
#2 | |||||
|
Продолжение следует: 16.07.13
Цитата:
Цитата:
Цитата:
Цитата:
Цитата:
|
||||||
|
|
|
11-07-2013
|
#3 |
|
как-то ВТ неактивно сливает
две недели целые и это при трех сливах |
|
|
|
|
12-07-2013
|
#4 |
|
Виртесту напиздошить надо за слив лаве
|
|
|
|
|
|
13-07-2013
|
#5 |
|
Стоит также отметить что POCT сделал обзор, максимально показывающий все нюансы реальной жизни закриптованных файлов.
Хочу отметить тот факт, что в закриптованных файлах нет обхода проактивной защиты и облачных технологий, соответственно эти файлы способны быть чистыми только при проверке сканнерами. Scan4you - показал себя с лучшей стороны и является, пожалуй, лучшим из тестируемых на данный момент времени. Chk4me - также показал, что не сливает, но из-за малого количества на борту AV-сканнеров не может отразить полного результата проверки, если сравнивать с результатами того же Scan4you. Данный сервис подойдет больше тем, кто только НАЧИНАЕТ заниматься чистками, созданием своего крипт-сервиса или кодингом своего криптора. Теперь об аутсайдерах. Посмотрев на детекты Virtest, AvDetect я откровенно удивился, но понимая то, что нужно сделать чистку обновил базы Panda и сделал проверку локально, и каково мое было удивление, когда сканнер показал что файлы 1.exe, 2.exe, 3.exe, 4.exe чистые, а вот файл Rtlpm.exe показал Trj/Buzus.AH что соответствует проверке на virustotal.com. Для меня это сигнал того что Virtest, AvDetect сливают через облачные технологии на прямую Pand'е, а еще дополнительно AvDetect вполне возможно что также через облачные технологии сливает BullGuard Internet Security, поэтому локальный сканнер показал что файл 4.exe чист. Скорее всего, происходит слив в облоко, а при проверке на virustotal.com проверяется инфа в облаке и если есть - фэйл. Я почему-то уверен, что если бы на virustotal.com был бы BullGuard, он также показал бы фэйл. Обычный сканнер не может показать облачный детект, да и вообще Облачные технологии - по своей природе подразумевают обмен данными напрямую с юзерами и антивирусным обезьянкам и при этом всегда должен быть онлайн! По этому они как бы живут отдельно от... если файл попадает в облако, то этот файл анализируется антивирусным обезьянкам работающими за банан, и они могут предотвратить угрозу распространения еще до прогруза! Облачные технологии существуют специально для предотвращения угроз распространения, им пох сигнатурный детект их задача убить источник распостраниния!!! Облачные технологии были специально созданы, чтобы сработать на опережение. Если рядом с антивирусом стоит Cloud и при этом говорят, что не сливают - то тут, либо сливают, либо нагло обманывают и Cloud это обычный сканнер. Сканирование по сигнатурам, эвристический анализ, эмулятор это то, что относится к сканнерам - это уже технологии прошлого века... Еще хотелось бы подметить то, что если бы это был реальный детект сканнером, который показали Virtest, AvDetect у Pand'ы, я бы сделал бы реверс причины детекта и рассказал бы об этом здесь подробнее, но так как этого детекта физически не оказалось... Появилось много идей сделать дополнительные проверки, но я считаю это лишним. У нас есть Scan4you, Chk4me, где можно проверять, не опасаясь, что будет слив. Итог всего этого: Вам никто НЕ ЗАПРЕЩАЕТ проверять на Virtest, AvDetect мы всего лишь предоставили вам информацию для размышления, которая вполне возможно помогла развеять какие-то сомнения и продлить жизнь вашим закриптованным файлам. |
|
|
|
|
|
13-07-2013
|
#6 |
|
Multik, ну вот про эвристики и эмуляторы вы зря сказали что прошлый век
 а облака разве созданы для предотвращения источника распространения? вроде бы для сравнения с безопасными... |
|
|
|
|
14-07-2013
|
#7 |
|
А maximscan.net почему не протестировали?
|
|
|
|
|
14-07-2013
|
#8 |
|
Stalker, он умер
|
|
|
|
|
15-07-2013
|
#9 |
|
Вообщем после этих тестов Panda на virustotal.com стала палить все файлы закриптованные моим криптором, а остальные антивирусы молчат.
Установил на виртуальную машину свежескачанную Pand'у (антивирус), обновил базы и просканил тестовые файлы и о бля, файлы 3.exe, 4.exe показали Trj/Genetic.gen Выяснил причину того почему не было детекта в прошлый раз когда проверял, оказывается я когда обновлял базы скопировал старые файлы сканнера и из-за этого не было детекта. Сделал дополнительные тесты. Закриптовал 25 билдов XtremeRAT v2.9 (созданных с настройками по-дефолту) и тесты делал уже не сканнером, а запускал на виртуальной машине с установленной Pand'ой. Из 25 стартанул только 1, остальные все Panda задетектила как Trj/Genetic.gen Считаю, нормально так криптор выдержал тесты, теперь думаю переходить на следующую стадию развития. Из-за выебонов Pand'ы, теперь будут хлебать дерьмо все аверы, я принял решение добавить пермутатор, теперь это будет адом для них. Имя у криптора Doomsday и то, что убивает криптор, в результате делает его только сильней... Также в скором времени, скорее всего, буду делать бесплатно 1-2 крипта в день выборочно, для этого создам отдельный топ. Бесплатно в том плане, что буду подыскивать человека, можно так сказать напарника.... |
|
|
|
|
|
16-07-2013
|
#10 | |
|
Цитата:
|
||
|
|
|
|
16-07-2013
|
#11 |
|
Обновил второй пост темы. Результаты странные. Т.е. 1.exe и 2.exe не палятся, а остальные палятся - хотя заливались одновременно на вирустотал вместе с 3.exe и 4.exe. Единственное, можно списать на то, что спалились соседние стабы Мультика. Ладно, допустим, опустили этот момент. Тогда остается смотреть на разницу между детектами.
Кстати, виртест у меня еще два доллара спиздил. А старый долг вернул (походу). Объясняю: на балансе было 6$. Итого, после скана 3 файла у меня остался 1 доллар (и это еще при том, что я нажал на кнопку "проверить заново" - в тот раз при нажатии на нее ничего не происходило. А то возможно было бы и 3$ спиздили). Пришлось доложить еще 1$. |
|
|
|
|
|
17-07-2013
|
#12 | |
|
Цитата:
 Раньше был еще мозгоебальный Bitdefender - постоянно они чего-то там придумывали, то бля детект по энтропии, то детект по так называемым графам, но после того как я применил незначительные элементы пермутации для того чтобы сбить их детект по графам, хз. чего там произошло, но после этого они вообще забили на мой крипт и уже месяца три ничего от них не было слышно... По-поводу 3.exe и 4.exe - это был реально детект Pand'ы, видимо они сделали детект в промежутке времени проведения тестов, а из-за того что каждый крипт индивидуальный 1.exe и 2.exe не попали под этот детект. Да я так и предполагал что возможен вариант того что задетектить могут во время тестов, все-таки неделя это достаточно большой срок для криптора, чтобы сохранить VTFUD без чистки. Второй тест особенно очень хорош и дополнил первый, спасибо! |
||
|
|
|
|
18-07-2013
|
#13 |
|
Multik, извините . но если вы проверяли файл на облачном авере у нас, то контрольные суммы были отправлены в облако. это нормально, мы об этом предупреждали.
|
|
|
|
|
|
21-07-2013
|
#14 | |||||
|
Был получен официальный комментарий от сервиса AvDetect:
Цитата:
2. Каждый файл имеет уникальный крипт, по этой причине случайные совпадения контрольных сумм исключены. 3. Твой сервис участник облачной технологии панды, а это значит, что автоматом к аверам панды сливались метаданные (это как минимум). Что такое метаданные можно узнать из аверских статей и тех. документации, ну вот в качестве примера, что пишут так называемые эксперты из лаборатории kaspersky: [Ссылки могут видеть только зарегистрированные пользователи.] Цитата:
Цитата:
Цитата:
[Ссылки могут видеть только зарегистрированные пользователи.] Цитата:
5. Я знаю причину детекта Pand'ой - это был детект эвристиком. Увеличив количество dll'ок в импорте - деткт полностью пропал, это говорит о том, что этот детект был не по контрольным суммам. 6. Если бы в облаке осуществлялся детект по контрольным суммам, то это можно было бы обойти, изменив банально (к примеру, при помощи php при раздаче со связок) участки кода в закриптованном файле (изменив тем самым контрольные суммы для всех раздаваемых файлов) и тем самым убив под корень облачные технологии... 7. Если посмотреть на второй тест, то можно увидеть, насколько сократилось время жизни закриптованных файлов: 1.exe и 2.exe - это примерно так должно быть, когда метаданные не попадали в облако и файл оказался чист. 3.exe и 4.exe - показывают, что произойдет с закриптованными файлами, если слить метаданные аверам и если у файла был, хотя бы под один детект. Вполне возможно, что многие проверяют паблик крипторы на AvDetect и не исключено что такие проверки сокращают время жизни закриптованного файла... Да и тема создавалась для показа и обсуждения тестов, а не для того чтобы здесь выяснять у кого толще и длиннее... каждый смотрит на тесты и делает выводы сам для себя. По-поводу BullGuard - это говнобетка и обертка над Bitdefender. По-сути еще одна хуйня из клонов Emsisoft, F-Secure, GData... (видимо BullGuard во время тестов глючил.) Теперь немного теории: Допустим, какой-то чел имеет крипт-сервис и проверяет на AvDetect закриптованные файлы и делает это часто, в результате в облако панды попадают метаданные со всех проверок. Далее один из проверяемых файлов попадает к аверам на реверс (допустим, какой-то юзер спалил, что что-то не так с системой и обратился за помощью к аверам), аверы сделают анализ закриптованного файла и снимут метаданные, далее сравнят метаданные в облаке и увидят все проверяемые файлы и IP с которых шел слив в облако, далее на основе этих метаданных создадут эвристический детект (у панды это Suspicious file и т.д.) и добавят его в базы, тем самым под замес попадут все проверяемые файлы, которых метаданные попали в облако и это самое безобидное, что может быть... Аверы не будут париться, если к ним попало 1-4 сэмпла, они просто сделают детект по хэшу, а вот огромное количество метаданных в облаке незначительно отличающихся друг от друга (+- на рандом) накалят докрасна их очко ярости, а при эпидемиях вполне возможен сквиртинг огненно-адской лавой и при этом эти брызги удовольствия могут задеть будущее, да и вполне возможно уже существующее поколение крипт-сервисов... |
||||||
|
|
|
| Для того, чтобы ответить в теме, необходимо зарегистрироваться. |
| Метки |
| ав-сканеров, было, детект, меня, метаданные, слив, тест, того |
| Здесь присутствуют: 1 (пользователей: 0 , гостей: 1) | |
| Опции темы | |
| Опции просмотра | |
Линейный вид
|
|
Часовой пояс GMT +3, время: 00:18.