Перейти к содержанию

Разъясните про использование UPX, почему он считается вирусом?


f2065

Рекомендуемые сообщения

 

Если выложить не упакованный, то проблем с антивирусами вобщем нет

выложите не упакованный фаил, для проверки.

 

Ну так ссылку давал выше, http://www.f2065.ru/soft/UPS_LM_v1207_deUPX.rar
Ссылка на комментарий
Поделиться на другие сайты

Действительно все на ура проходит. и даже работает, я бы не заморачивался, а распространял программу именно в таком виде.

тем более что размер RAR архива, практически равен.

Ссылка на комментарий
Поделиться на другие сайты

 

 


выложите не упакованный фаил, для проверки.

 

 


А также покажите хотя бы один детект virustotal.com на Ваш упакованный файл

Знаком с автором темы и его разработками: даю 100% гарантию, что внедрением вирусов в свои утилиты он не занимается.

Ссылка на комментарий
Поделиться на другие сайты

@f2065,

1) Если хотите официальный ответ, то надо было писать не сюда, а либо в тех. поддержку, либо хотя бы на оф. форум. Все остальные ответы тут являются частным мнением отдельных пользователей (в том числе и мой).

2) Проблем с UPX не должно быть и касперский должен нормально его распаковывать (как и любой нормальный антивирус). То, что он ругается, просто из-за того что упаковали в UPX не нормально.

3) Да есть проблема, что если файл посылать по почте, то несколько недель можно ждать пока аналитики касперского снимут фолс (есть подозрение, что даже спустя это время он до них не доходит).

4) Для того чтобы пользоваться вайт-лист от касперского не обязательно быть юр. лицом (проверено на практике).

 

Повторюсь, что это моё личное мнение и никак не является официальным ответом.


И мне также хотелось бы увидеть ссылку на отчёт VT, где касперский ругается на файл.

Не плохо было бы если рядом в том же посте была бы ссылка на тот же файл, не накрытым UPX.

Ссылка на комментарий
Поделиться на другие сайты

1) Если хотите официальный ответ, то надо было писать не сюда, а либо в тех. поддержку, либо хотя бы на оф. форум.

Тех.поддержка подразумевает регистрацию в качестве их клиента, я же давно не пользуюсь их антивирусом. На оф.форуме не вижу подходящего раздела по этому достаточно абстрактному вопросу. Проблема ведь не касается конкретного продукта.

Много лет назад кстати аналогичная проблема была - без UPX нормально, а с UPX касперский реагировал, на оф.форуме уже тогда спрашивал - ничего толком не ответили, отослали в ложный детект.

Там помнится я решения тоже не дождался, и немного переделал упаковщик - добавил простейшую шифровку XOR-паттерном, перед запуском распакованного кода была сделана соответствующая дешифровка после упаковки. Касперскому этого хватило, реагировать он перестал.

Но, там был инсталлятор, и те наработки применить сейчас невозможно…

 

2) Проблем с UPX не должно быть и касперский должен нормально его распаковывать (как и любой нормальный антивирус).

Я тоже так думал, но статистика вот показывает совсем другое. Стоит сжать файл в UPX - и сразу десяток антивирусов (причём всегда разных) начинает реагировать.

Правда в большинстве случаев касперский на UPX не реагировал (но тем не менее это далеко не первый случай его реакции именно на UPX)

 

Подумал вот может антивирусу не нравится сжатия секций экспорта и релока (может там при распаковке что-то скрыть можно), отключил:

upx --best --ultra-brute --compress-exports=0 --strip-relocs=0

Однако это ничуть не решает проблему…

 

4) Для того чтобы пользоваться вайт-лист от касперского не обязательно быть юр. лицом (проверено на практике).

Но аналитики там те же самые? Тоже очередь на проверку несколько недель?

Или что помешает злоумышленнику без юр.лица и прочих координат зарегистрироваться в вайт-лист и затем какой-то вредоносный файл там выпустить?

 

И мне также хотелось бы увидеть ссылку на отчёт VT, где касперский ругается на файл.

Так выше, в сообщение #8 этой темы, есть ссылка на отчёт VT до UPX (где почти никто не ругается) и после UPX (где сразу многие, в т.ч. касперский, ругаются).

 

Не плохо было бы если рядом в том же посте была бы ссылка на тот же файл, не накрытым UPX.

И ссылки были выше, вот выложил новую версию без UPX-сжатия - http://www.f2065.ru/soft/UPS_LM_v1208.rar- VT не жалуется практически - https://virustotal.com/ru/file/844e25c628dfc849e801905215d87476ebe08961a43488dd8dc31126c97b12cb/analysis/

Желающие могут скачать UPX 3.94w, запаковать файл командой upx --best --ultra-brute, и убедится что после этого VirusTotal будет массово ругаться вот примерно так - https://virustotal.com/ru/file/78cac2caa88f44ba497a2c35012c832a0d6e7ba129d96960295f52513c8fd1ef/analysis/

 

Интересно что вот попробовал запаковывать разные файлы из %programfiles%… И в подавляющем большинстве случаев факт UPX-упаковки ничего не портит, как было 0…1…2 детекта, так обычно и остаётся.

Но с разными самописными программами, независимо причём от языка на котором они написаны (ассемблеры, делфи, net, msvc2017), упаковка резко портит статистику на VT. Если до упаковки обычно 0 или не более 1-2 детектов, то после упаковки сразу 5-15 (а то и 20-30) детектов оказывается.

Вероятно что эвристика учитывает популярность файла среди пользователей облачных проверок? Т.е. файлы которые давно и часто попадаются у пользователей - паковать в UPX можно, а малоизвестные файлы паковать в UPX нельзя…

Ссылка на комментарий
Поделиться на другие сайты

Но аналитики там те же самые? Тоже очередь на проверку несколько недель?

Нет, обычно очень быстро (пару дней), а так официально там должно быть не более 5 рабочих дней.

Или что помешает злоумышленнику без юр.лица и прочих координат зарегистрироваться в вайт-лист и затем какой-то вредоносный файл там выпустить?

Файл ведь не слепо добавляется в вайт лист, а проверяется сначала роботом, если у него остались сомнения, то передаёт его на анализ живому аналитику.

  • В final report вы можете посмотреть, к какой зоне (<DangerZone>)в результате обработки был отнесен ваш файл:
    • Good означает, что файл был добавлен в базу White List.
    • Bad означает, что файл является вредоносным.
    • Gray означает, что файл относится к категории riskware и/или adware.

 

 

 

Так выше, в сообщение #8 этой темы,

ссылку видел, смотрел её, а касперского среди детектов клонов бита не заметил :(. Сейчас ткнули, увидел.
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Mrak
      Автор Mrak
      Всем привет! 
      У меня дома тёплые полы использовались с помощью дистанционного управления через приложение. Там ставлю режимы работы, температуру, при отъезде - одной кнопкой выключаю или ставлю другую температуру. В общем удобно.
      После 2х суток статуса "не в сети" всех тёплых полов, я обнаружил такую новость: https://welrok.com/support/instruktsiya-kak-dobavit-terneo-v-welrok
      Поставил приложение Welrok и у меня всё работает почти как раньше (глючит один терморегулятор в плане режимов и ночной яркости (не выключает подсветку ночью), но надеюсь, что это решаемо).
       
      Но возник вопрос безопасности. Скажите пожалуйста:
      1. Насколько безопасно пользоваться приложением от Welrok? Судя по всему, это Российская организация. Но вдруг это под видом организации в России какие-нибудь хакеры/мошенники?
      2. Насколько безопасно управлять полами по сети? Какой самый негативный вариант? Квартиру спалить не смогут, вызывав замыкание? Т.е. есть ли встроенная защита от умышленного причинения вреда? Или максимум чем могут вредить - выключить полы или жарить на 40 градусов?
    • di.mailovich
      Автор di.mailovich
      Добрый день
      Обратил внимание что некоторые вендоры отказались от файерволла на Андройд в премиум версиях даже те у кого он был (аваст например) 
      Поясните пожалуйста вашу позицию. 
      Может быть бесполезность его без рут прав, или сложность установки правил для обычных пользователей или потому что толку от него нет кроме как резать рекламу блокируя выход в интернет некоторым приложениям или особенность именно операционной системы Андройд в которой нет острой необходимости в такой программе ? 
    • KL FC Bot
      Автор KL FC Bot
      В нашем полном гиде по ключам доступа (passkeys) мы уже разобрали, как отказаться от паролей при пользовании обычными комбинациями смартфонов и компьютеров на базе Android, iOS, macOS и Windows. В этом посте мы сосредоточимся на важных частных случаях:
      как один раз войти в свой аккаунт с чужого устройства; что делать, если часто меняешь компьютеры или смартфоны; как защититься от взлома аккаунта, если тот поддерживает резервный вход по паролю; какие проблемы могут возникать в международных поездках; что происходит при использовании нишевых браузеров и ОС. Как пользоваться passkeys на чужих компьютерах?
      Что делать, если нужно войти в свою учетную запись, защищенную ключом доступа, из библиотеки, с компьютера в аэропорту или просто у родственников дома? Не торопитесь вспоминать резервный пароль.
      Начните на компьютере вход в учетную запись на нужном сайте: введите имя пользователя, при необходимости нажмите «Вход с помощью passkey». После этого на экране появится QR-код — его нужно просканировать своим смартфоном, на котором сохранен ключ доступа. Если все получилось, QR-код пропадет, и вы войдете в свой аккаунт.
      Чтобы этот несложный на вид процесс прошел гладко, нужно не так мало:
      компьютер должен поддерживать Bluetooth Low Energy (BLE) — с его помощью идет проверка, что смартфон и компьютер действительно находятся рядом; на компьютере должны быть установлены ОС и браузер, поддерживающие ключи доступа; и у компьютера, и у смартфона должно быть надежное интернет-соединение.  
      View the full article
    • KL FC Bot
      Автор KL FC Bot
      Отказаться от паролей и цифровых кодов по SMS, подтверждать вход в приложения и на сайты простым отпечатком пальца или улыбкой в камеру — именно так звучит обещание passkeys. А еще passkeys, в отличие от паролей, устойчивы к краже, поэтому новости об утечках вроде недавней, на 16 миллиардов учетных записей, можно будет читать, не хватаясь за сердце.
      Под разными названиями этот способ входа на сайты настойчиво рекомендуют WhatsApp, Xbox, Microsoft 365, YouTube и десятки других популярных сервисов. Но как выглядит использование пасскеев, они же ключи доступа, они же ключи входа, на практике? Мы подробно писали об этом в приложении к аккаунтам Google, а сегодня разберем, как поддерживают passkeys другие сервисы и платформы. В первом посте мы расскажем об основах использования passkeys на одном или нескольких устройствах, а во втором — разберем более сложные случаи, когда нужно войти в свой аккаунт на чужом компьютере, использовать Linux или же хранить ключи доступа на аппаратном брелоке-токене.
      Что такое passkey
      Passkey — это уникальный цифровой ключ входа, созданный для конкретного сайта или приложения. Он безопасно хранится на вашем устройстве: смартфоне, компьютере или специальном USB-брелоке (аппаратном токене) вроде YubiKey или Google Titan Security Key. В момент логина ваше устройство с помощью биометрии или ПИН-кода проверяет, что входите действительно вы. После этого оно отправляет сайту защищенный ответ, созданный на базе этого уникального ключа. Этот механизм хорошо защищает от кражи учетных записей, возможных при использовании паролей, обоими популярными способами — и через фишинговые атаки, и через взлом сайтов. Passkeys работают на устройствах Apple, Google и Microsoft, а при использовании облачной синхронизации в теории доступны на всех ваших устройствах. Подробнее о внутреннем устройстве passkeys — в предыдущем посте про ключи доступа.
       
      View the full article
    • Acteon_927
      Автор Acteon_927
      Можно ли использовать резервное хранилище Kaspersky Password Manager для восстановления днных в новом хранилище KPM, если утерян мастер-пароль к нему? Сколько резервных хранилищ может быть и где их можно хранить? Можно ли использовать проводник для создания резервных копий?
       
×
×
  • Создать...