Защита программного обеспечения / обфускация кода, которая не вызывает ложных срабатываний антивируса
Я ищу программное обеспечение для защиты и / или запутывания кода, такое как Целесообразно Oreans, VSProtect, ASPRotect и подобные. Тем не менее, antivirus false positives является для меня прерывателем сделки. Я не могу причинять неудобства или отпугивать наших законных пользователей. И, к сожалению, кажется, что все три упомянутых выше продукта страдают от этой проблемы.
мой 32-разрядное собственное (не .NET) приложение Windows написано на Delphi прямо сейчас используется пользовательский код управления лицензиями, и он работает хорошо, однако, поскольку не используется обфускация кода, трещины создаются в течение нескольких часов после каждого выпуска. Итак, я ищу продукт, который добавляет хотя бы некоторый уровень защиты от крекеров и не создает ложных срабатываний с антивирусами.
мой главный приоритет-не уклончивость и стабильность, отсутствие ошибок и проблем с ложной тревогой антивируса, введенных в мое программное обеспечение. Уровень anti-cracking предохранения вторичн к что.
8 ответов
вам придется свернуть свой собственный. Ложные срабатывания происходят от "подписей", соответствующих известным вредоносным программам. Например, если некоторые вредоносные программы используют upx для сжатия, а сканер обнаруживает upx, скомпилированный в приложение, вы можете быть неправильно идентифицированы.
Вы можете получить false-positive только потому, что сканер увидел, что вы используете Delphi (или любой другой компилятор, если на то пошло). Но чем более неясно, тем выше уверенность, что сканер думает:" я нашел здесь что-то уникальное", и перекрестные ссылки с его каталогом известных вредоносных программ. ]
Если бы Служба безопасности аэропорта работала как анти-вредоносные компании, меня бы застрелили в аэропорту, потому что я мужчина с каштановыми волосами, карими глазами.
Если сканер достаточно ленив, вы можете быть помечены для установщика, который вы используете, сторонних компонентов, которые вы используете, строки ресурсов, "случайный шанс", что-то делать с сертификатом подписи кода или компилятором, который вы используете.
кто-то сделает вредоносное ПО с помощью FireMonkey. Некоторые антивирусные программы (возможно, более одного) примут это к сведению. В течение некоторого периода времени это будет проблемой для приложений FireMonkey.
вот интересная дискуссия: случайно создал вирус?
Arxan guardIt предназначен для работы с приложениями visual C++, но предприимчивый разработчик Delphi может использовать его для защиты своих продуктов. Я знаю одно очень популярное коммерческое приложение, написанное на Delphi, которое использует его, но вам нужно написать некоторые инструменты самостоятельно, чтобы преобразовать файлы карт Delphi и другую отладочную информацию в форматы Visual C++.
Если вы хотите свернуть свой собственный, имейте в виду, что задача-быть умнее хакеров и построить более слоев контр-гарантии, которые полагаются друг на друга в некоторых трудно определить, таким образом, чтобы успешно противостоять сухари. Лично я считаю, что вы все равно не заставите этих людей давать вам деньги, поэтому тратить свое время на то, чтобы не дать им использовать ваше программное обеспечение, - это просто отрезать вам нос назло вашему лицу. Но если это ваша тяжелая работа там в интернете в треснутой форме, то, безусловно, продолжайте пытаться превзойти их.
обратите внимание, что если вы получаете в передовые методы, такие как самомодифицирующийся код, вы почти наверняка получите помечены некоторыми программами обнаружения вредоносных программ, и вам нужно будет запросить, чтобы быть в белом списке. Если вы не готовы зайти так далеко, как самомодифицирующийся код,тогда может быть нулевая точка даже в попытке. Я не знаю ничего, что сопротивляется прямым автономным методам декомпиляции, которые не требуют самомодифицирующихся, точно вовремя ремонтных и поврежденных методов.
простые старые методы дешифрования exe это делается один раз при запуске также очень легко обойти и удалить полностью, как только незашифрованный exe полностью загружен в память.
Я думаю, вы могли бы взглянуть на один называется Защитник Enigma
разработчик очень осведомлен о проблемах с ложными срабатываниями и активно взаимодействует с AV-компаниями по этому вопросу. Вот что разработчик сказал об этом в одном из своих сообщений на форуме "начиная с Enigma Protector 3.0 никаких ложных обнаружений не будет появляться с защищенными файлами!"ссылка на пост форума
Я использую эту защиту с тех пор, как я переключился из лицензии Ice несколько лет назад и только когда-либо имел одну проблему с ложноположительным обнаружением. Я сообщил разработчику, и он сразу же связался с Avast для меня. Это было решено при следующем обновлении обнаружения AV.
защита имеет много функций и очень полезный файл справки. Он использует систему маркеров для виртуализации, и при запуске кода в этих маркерах он будет использовать специальный язык, известный только системе защиты под названием PCODE на внутреннем виртуальном процессор.
Он имеет свой собственный API и плагины могут быть написаны для него. Он также включает в себя виртуальный сейф для файлов и реестра, но теперь я могу продолжать бесконечно.
Крис
Я думаю, вы должны посмотреть на это по-другому. Мы используем Oreans и имели аналогичные проблемы, но обходили их, подписывая исполняемые файлы. Антивирусное программное обеспечение занимает немного больше времени, чтобы посмотреть на ваше приложение, но большинство по-прежнему будет принимать его как вирус бесплатно, если он цифровой подписью.
причина, по которой я говорю это, заключается в том, что системы защиты меняются, как и антивирусные системы. Вы можете найти систему сегодня, которая успешно проходит антивирусный тест и завтра, когда кто-то выпускает некоторые шпионские программы, зашифрованные тем же продуктом, Ваш будет помечен как вирус.
обновление-есть несколько изолированных, которые все еще жалуются, но большинство принимают подписанный как действительный (мы получаем 6 из 43 флагов, тогда как без подписания у нас было больше половины жалоб)
Да, есть доступные решения. (Отказ от ответственности: я работаю в компании по защите от копирования программного обеспечения Wibu-Systems) и я могу заверить вас, что CodeMeter не запускает антивирусные системы и не требует прав администратора для установки. Я также могу сказать вам, что любое домашнее решение, вероятно, будет взломано довольно быстро-мы потратили годы (и другие поставщики в этом пространстве, такие как Arxan, Safe-Net и Keylok), разрабатывая методы, чтобы запутать и запутать потенциальных сухарики.
большинство взломщиков просто используют отладчик для установки точки останова в процедуре проверки лицензии (сообщение об ошибке или диалоговое окно, которое представлено пользователю), а затем исправляют код языка сборки при проверке подлинности (ищите что-то вроде сравнения EAX с EBX и измените код, чтобы всегда возвращать true). Поэтому им не нужно пытаться де-запутать ваш код и т. д. Вот почему большинство коммерчески доступных решений использует шифрование, а не какой-то проверка подлинности/проверки подлинности -- шифрование не может быть исправлено. Но даже зашифрованный исполняемый файл может быть сброшен и перестроен, если вы не очень разбираетесь в том, как повторно организовать формат файла PE и обрабатывать хранилище ключей и обмен ключами.
учитывая, что стоимость коммерческой системы со всеми ее преимуществами и преимуществами (управление лицензиями, гибкость, кросс-платформенная поддержка и т. д.) Может быть довольно низкой, зачем сворачивать свою собственную? Большинство людей не пишут свои собственные установщики, так как вы можете использовать MSFT или InstallShield или NSIS-зачем писать собственное решение для лицензирования и защиты?
Я думаю, вы не получите 100% гарантии, но у меня никогда не было проблем с Армадилло. Защитите свой exe и подпишите его действительным сертификатом.
Это трудно, как всегда.
Я бы сказал, что вы должны начать искать продукт, который применяется во время компиляции, а не после. Упаковщики, которые упаковывают двоичные файлы, всегда будут производить подозрительный результат, поскольку они действуют так же, как вирус.
Я считаю, что многие из схем защиты игры, как Sonys SecuROM делает это или, по крайней мере, начинает делать это. Но можно поспорить, что пока вы в безопасности на стороне ложных срабатываний, крекеры уже знают, как победить эти основные продукты.
таким образом, вам нужно найти этот хороший и предстоящий продукт звонка.
попробуйте использовать шестнадцатеричный редактор для редактирования заголовков, таких как " UPX " и т. д. Двоичный файл не нуждается в них, просто инструмент, который распаковывает их.