| Вопрос: Касперский=Универсальный распаковщик файлов | Добавлено: 17.02.07 03:06 |
Автор вопроса:  ZagZag | ICQ: 295002202 |
|
Никто не пробовал зделать прогу, использующую базы Касперского для распаковки или, хотябы, определения паковщика того или иного файла (exe, rar, msi...) (upx, fsg, aspack...)
Гугля по этой теме вообще ничего не выдает (искал по заголовкам) |
| Ответы | Всего ответов: 6 |
|
Номер ответа: 1 Автор ответа:  Sharp Лидер форума ICQ: 216865379 Вопросов: 106 Ответов: 9979 |
Web-сайт: Профиль | | #1 | Добавлено: 17.02.07 14:11 |
| Парсинг баз Касперского - само по себе очень сложное занятие. Посмотри, как это сделано в PEid | ||
|
Номер ответа: 2 Автор ответа: ZagZagICQ: 295002202 Вопросов: 87 Ответов: 1684 |
Профиль | | #2 | Добавлено: 18.02.07 11:49 |
|
Зачем парсить базы Каспера?
А если и парсить базы, то неужели такой формат сложный? PEid не распаковывает большинство программ, а каспер - полюбому (и не только ведь проги, но и архивы). |
||
|
Номер ответа: 3 Автор ответа: SharpЛидер форума ICQ: 216865379 Вопросов: 106 Ответов: 9979 |
Web-сайт: Профиль | | #3 | Добавлено: 19.02.07 16:13 |
|
неужели такой формат сложный?
Судя по деньгам, которые предлагают за их разбор - да, сложный. Вообще говоря, исходя из доступности баз всем, и учитывая основные трудозатраты антивирусных лабораторий (поиск и анализ вирусов), в методе шифрования этих баз и заключается все их финансовое благополучие. Каспер распаковывает проги обычно либо эмуляцией, либо встроенными распаковщиками. Эмуляция тебе подойдет вряд ли, а встроенные распаковщики проще скачать отдельно, чем выцепить их из каспера. |
||
|
Номер ответа: 4 Автор ответа: W[4Fh]LF Вопросов: 0 Ответов: 187 |
Web-сайт: Профиль | | #4 | Добавлено: 20.02.07 15:35 |
|
Чтобы определить упаковщих или компилятор базы касперского вовсе ненужны(он знает слишком мало). Возьми для этого базы сигнатур из паблика(у меня есть базы сигнатур для порядка 800 компиляторов, протекторов и пакеров), почаще ходи на соответствующие форумы, тогда можешь спокойно их обновлять по мере надобности.
Что касается распаковки. Касперский не имеет никакого эмулятора, это во-первых. Эмуляторы на данный момент из известных мне имеют BitDefender и NOD32. Второе, если хочешь получить универсальный распаковщик - смотри в сторону генерик унпакеров(QuickUnpack например, всякие UPX, aspack и FSG распакует без особых проблем, даже простенькие проты ему по зубам). Далее не стоит путать динамические унпакеры и статические, наличие первых в АВ абсолютно недопустимо, а написание универсального статического унпакера - теоретически возможно, но практически вряд ли реализуемо. Теперь, что касается самих баз. Их формат ещё давно разобрал Z0MBiE, более того он релизил тулзу, с помощью которой каждый мог разобрать свои базы откаспера. Распаковщих на основе этих баз тоже идея не новая и такой распаковщих существует, правда в некоем бета-варианте, подробно эта проблема была разобрана ещё с полгода назад на форуме cracklab'a. |
||
|
Номер ответа: 5 Автор ответа: SharpЛидер форума ICQ: 216865379 Вопросов: 106 Ответов: 9979 |
Web-сайт: Профиль | | #5 | Добавлено: 20.02.07 21:09 |
|
Касперский не имеет никакого эмулятора
Надо же, я думал о нем лучше, чем он того заслуживает. Никогда бы не подумал  )
|
||
|
Номер ответа: 6 Автор ответа: W[4Fh]LFВопросов: 0 Ответов: 187 |
Web-сайт: Профиль | | #6 | Добавлено: 20.02.07 22:43 |
|
Надо же, я думал о нем лучше, чем он того заслуживает. Никогда бы не подумал
)Ну, в целом я во всех АВ уже давно разочаровался, однако Касперский изначально выезжал только из-за оперативного обновления и расширения своих баз, а так же из-за талантливых ребят(точнее одного гуру - Dr.Golova который пишет им модули статической распаковки), недавно там вроде начало появляться нечто вроме эвристика, но эмклятора там вроде не наблюдаплось. Кстати, вот в NOD32 тоже есть статикунпакеры для разных пакеров(~15), но при этом он распознаёт вирусы даже в файлах, которые были упакованы "неизвестными" ему вещами, что позволяет сделать вывод о том, что он распаковывает файлы с помощью своего мощного эмулятора. Хотя конечно было бы хорошо, если бы авторы НОДа параллельно увеличивали и базу модулей для статической распаковки. |
||
Страница: 1 |