Stariy2003 8 мая 2022 в 18:29

Как я программу на вирусы проверял

5 мин

11K

.NET*Реверс-инжиниринг*

Технотекст 2022

Из песочницы

+14

Комментарии 17

tbl 8 мая 2022 в 19:46

Помимо того, как меняются файлы, я бы посмотрел на то, как программа формирует fileName: как бы там не было формирования странных урлов. Анализ в песочнице в этом случае был бы крайне полезен.

Aleho 8 мая 2022 в 19:53

Думается что все же не стоит торопится называть Malwarebytes не самым популярным антивирусом.
И чуть более полная картинка с VirusTotal выглядит так:

SergeyMax 8 мая 2022 в 20:50

А где там в коде отключение ETW?

Aleho 8 мая 2022 в 23:22

вот и автор не нашел.

Stariy2003 8 мая 2022 в 23:04

а разве он самый популярный?

Aleho 8 мая 2022 в 23:21

в сравнении с MaxSecure наверняка.

Stariy2003 8 мая 2022 в 23:32

А при чем тут MaxSecure? Почему именно с ним надо сравнивать?

Aleho 8 мая 2022 в 23:48

а почему вы решили что Malwarebytes не самый популярный антивирус?
а почему вас до потери сна и аппетита заинтересовала именно эта программа?
а почему вы не прошлись по списку предупреждений на вирустотале и не рознесли его в пух и прах?
а почему вы даже туда не заглянули?
Не очень констуктивно, не правда ли.
Продолжать в таком духе смысла нет.

Stariy2003 9 мая 2022 в 00:00

Потому что он таки не самый популярный.

qw1 8 мая 2022 в 22:55

Исходники тут есть: github.com/ewwink/MD5-Hash-Changer/releases
И бинарник там же, на который VirusTotal даёт 2 детекта.

Stariy2003 8 мая 2022 в 23:00

Спасибо, добавил ссылку в статью.

DaemonGloom 9 мая 2022 в 07:59

Из личного опыта — софтина на Go, которую прогнали через UPX для сжатия, успешно давала кучу детектов. Без сжатия — никаких детектов, всё прекрасно. Так что теперь она занимает на 5 мегабайт больше на диске у каждого пользователя, зато без ругани антивируса.

Stariy2003 9 мая 2022 в 08:59

У меня такой же эффект был после применения pyinstaller к совершенно невинному скрипту.

qw1 9 мая 2022 в 09:59

Вредно сжимать программы UPX-ом.
Каждый запуск придётся читать весь файл целиком и тратить время на расжатие, когда несжатые файлы просто мапятся в память, и странички с кодом и данными подчитываются в момент первого доступа к ним. То есть файл в 70 мегабайт может при запуске считаться на 100КБ, если остальной код не получил управление.

SergeyMax 9 мая 2022 в 11:40

Сомнительно. Как минимум будет проверяться подпись файла, а для этого потребуется полностью его прочесть.

qw1 9 мая 2022 в 17:42

Подпись проверяется только при запуске с повышением привилегий (при отображении окна UAC).
Но обычно на программах, которые хотят паковать UPX-ом, нет подписи.

qw1 9 мая 2022 в 18:01

Кстати, читать весь файл не надо.
Я взял explorer.exe (размер 5.1МБ) из Windows 10, и вытащил PKCS#7 Signed Message, это примерно 54КБ. Из них 2 сертификата по 1.2КБ и Payload на 45КБ. Подпись заверяет целостность Payload, и его можно проверить, не читая весь файл. Внутри Payload хеши страниц, так что теоретически загрузчик может проверять хеши только тех страниц, которые он подкачивает в память (но не знаю, пользуется ли он на практике такой возможностью. Я думаю, что при запуске програм в userspace, подпись не влияет на возможность запуска файла).

Зарегистрируйтесь на Хабре, чтобы оставить комментарий