Author Topic: packer vs. AV (Read 773 times)

Conflict · « **on:** May 07, 2007, 09:25:22 AM »

zdar,
vsichni nejspis pouzivame nakej ten AV. Je mi jasny, ze vetsina asi NODa. Stalo se vam nekdy, ze by nemohl AV prozkoumat packovany .exe, dll, ...?

CZerezpiCZkin · « **Reply #1 on:** May 07, 2007, 11:05:34 AM »

AV ma niekedy problem s packermi - vtedy to riesi ozaj originalne, vypise hlasenie (mam dojem, ze nieco v style 'probably packed') a tym to je vybavene... Tiez som si vsimol, ze k niektorym suborom nema pristup a ako dovod napise ze je vyzadovane heslo, co som nie velmi dobre pochopil, nakolko neviem ako v systeme je mozne nastavit heslo pre pristup len k niektoremu konkretnemu suboru (kniznici, ovladacu a pod.)

llAmElliK · « **Reply #2 on:** May 07, 2007, 11:16:14 AM »

Mne se NOD32 pravidelne maze jeden z packeru - ted si nezpomenu kterej a myslim ze ma problemy i s RDG packer detector - podle mne to je zpusobeny "injekci" kodu v danem .exe a neprirozenou PE Headers...

CZerezpiCZkin · « **Reply #3 on:** May 07, 2007, 11:28:41 AM »

2 llAmElliK:
Mas pravdu s tymi neprirodzenymy PE hlavickami a vsuvackami kodu. Pokial si dobre spominam, NOD sa mi isiel zblaznit, ked som nahodil CrackersKit na komp, pretoze tam je dost nastrojov s pochybnym pristupom k suborom a manipulaciou s nimi (pochybne z pohladu AV ochrany samozrejme).

llAmElliK · « **Reply #4 on:** May 07, 2007, 11:35:44 AM »

Ano, z pohledu AV je to v celku pochopitelne - AV ochrany se krom jineho zameruji na neprirozenou strukturu .exe souboru tolik specifickou pro viry - coz znamena klasicka strukura PE (velikosti ,spravne zacatky a soucty apod.) a samozrejmne od toho odvijejici se OEP.

eraser · « **Reply #5 on:** May 07, 2007, 12:04:36 PM »

Tie? pou?ívam NOD a niektoré dokumenty, resp. zapakované CMká alebo uká?ky pokročilých ASM techník musím pakovať v heslovaných archívoch. Problém tkvie najmä v heuristickej analýze a taktie? nie je vylúčená zhodná signatúra s nejakým známym vírusom.

Inak skú?ali ste niekto otestovať NOD na viacero typov packerov? Čo som si v?imol, tak UPX a FSG mu nerobia ?iadny problém a vie ich detekovať a túto skutočnosť i vypí?e.

DARKER · « **Reply #6 on:** May 07, 2007, 06:54:21 PM »

Jo NOD je asi na tom najlepsie co sa tyka analyzy packnutych exacov, krepy Norton si hocikedy po "blbom" update vzorky zmysli ze app ktoru uz 1000x kontroloval zo statusom OK - je virus a po inom dalsom update - ze uz je zase v poriadku :-)

Master · « **Reply #7 on:** May 07, 2007, 08:26:20 PM »

Ja mel predtim problem s NODem taky pri nejakych injectorech nebo tak.Ale celkove,antiviry moc nepouzivam,dela to jen bordel.Nastesti mi nic nesmazal,ale jen zablokoval treba pristup.

eraser · « **Reply #8 on:** May 31, 2007, 08:36:39 AM »

No, tak po včeraj?om update mi tupý McAfee hodil do karantény takmer v?etky packované a kryptované CMká. Samozrejme i AntiVictim.

A to nehovorím o tom, ?e to neviem vrátiť späť, keď?e nemám dostatočné právomoci. Proste, zasratí admini. A k tomu sa ka?dých 30 minút spú?ťa nejaký mini-scan, ktorý mi na 5 minút odstaví PC tak, ?e ani nemô?em napísať vetu do notepadu a v prípade, ?e pristupujem k súborom, tak som na tom obdobne. Výborný príklad, ako P4 degradovať na P3.

RE FORUM

News:

Author Topic: packer vs. AV (Read 773 times)

Conflict

packer vs. AV

CZerezpiCZkin

Re: packer vs. AV

llAmElliK

Re: packer vs. AV

CZerezpiCZkin

Re: packer vs. AV

llAmElliK

Re: packer vs. AV

eraser

Re: packer vs. AV

DARKER

Re: packer vs. AV

Master

Re: packer vs. AV

eraser

Re: packer vs. AV