Cracki, TrialResety itp

[magdas]

Przeważnie modyfikują pliki PE, więc nic dziwnego, że praktycznie każdy AV podnosi alarm. Jeśli są to pliki dll to juz inna bajeczka.

[Miszel03]

Jeżeli chodzi o cracki np. Gier to widomo że to świetna okazja dla cyberprzestępców żeby do naszego systemu przemycić złośliwy kod.
Jednka nie wszystki craki są zainfekowane lecz większość w crackach najczęściej są keyloggery spyware i Adware !
Pamiętaj głównym i najskutecznijszym pragramem antywirusowym jest mózg. oczywiście nie możemy zapomnieć o korzystaniu z Oprogramowania Antywirusowego.

[tachion]

Główne zadanie tutaj odgrywa heurystyka danego oprogramowania antywirusowego,dlatego występują rożnego rodzaju fałszywe alarmy.
Cracki czy keygeny są wykrywane przez program av głównie ze względu na ich strukturę,większość jest pozbawiona danych sekcji lub ma sekcje dodatkowo dodaną,w porównaniu do zwykłego oprogramowania jest to już jakaś anomalia czyli jakiś dany wskaźnik entropii czyt.(plik zmodyfikowany).
Do tego dochodzą jeszcze pakery typu upx,kryptery lub inne które były już tutaj wymienione.
Ważne też jest czytanie z jakich funkcji danych bibliotek korzysta dany program,czyli czy nie wykonuje jakiś nietypowych operacji.
Ważną rolę tutaj też spełnia podpis cyfrowy,jeśli go nie ma to już jest jakieś podejrzenie że coś jest nie tak.
No i oczywiści jeśli są to też zaufane źródła to warto sprawdzać też sumy kontrolne plików czy się zgadzają ze źródłowym oryginalnym plikiem.

Nawet jakby program też był spakowany pakerem np.upx i nie był wykrywany przez program av,to wystarczy jedna wzmianka,parę bajtów za pomocą programu typu HexEditor,w miejsce upx

[Aby zobaczyć linki, zarejestruj się tutaj]

dopisać sex

[Aby zobaczyć linki, zarejestruj się tutaj]

To w tym momencie program antywirusowy lub serwis virustotal będzie nam wykrywał niby zagrożenie.

[Utryx]

Chodzi mi głównie o pliki *.dll. Co do wykrywalności przez programy antywirusowe, to jak tachionnapisał, każdy keylogger czy też crack jest potencjalnym zagrożeniem. Problem polega na tym, jak odróżnić ten rzeczywiście zainfekowany od tego czystego. Czy jest za to odpowiedzialna jakaś jedna linijka kodu ( w co wątpię..) którą można odszukać i usunąć. A może to o wiele bardziej skomplikowana operacja ?