Ko je ovde lud, a ko blesav...

• 2Ovo se svidja korisnicima: mcrule, vasa.93
  
  Registruj se da bi pohvalio/la poruku!

Ajde jos jednom da obnovimo lekciju, posto vidim da ne mozete da razgranicite neke stvari:

Arhive su:
TAR

Arhive sa kompresijom:
GZip, Zip, Rar, Arj, Zoo, Ha, 7z, Uharc, Arc, Lhz, bz2...

Pakeri su:
UPX, ASPack, Fsg i jos gomila koja postoji na listi gore u clanku

Neku vrstu pakera/arhivera predstavljaju i instaleri za programe:
NSIS, Inno Setup, Wise installer, MSI Installer...

Osim toga, postoje jos i druge vrste 'koverti' ili konstruktora 'koverti':
razni dropperi, binderi, joineri...

Vecina AV programa manje-vise lepo podrzava rad sa Arhivama i Arhivama sa kompresijom.
Problem su pakeri, instaleri, i zadnja grupa.

Veci deo clanka se odnosi na pakere i zadnju grupu. Zadnja grupa je najveci problem, posto u vecini slucajeva jedan dropper recimo, bude iskoriscen samo za distribuciju jednog trojanca, tj. ne bude masovno koriscen.
Jasno je da ce neka AV kompanija pre da ugradi podrsku za skeniranje Arhiva (sa kompresijom) neko podrsku za tamo neki dropper koji ima 0.01% ucesca na trzistu.
Dobar deo clanka se odnosi na genericku detekciju droppera i njima slicnih, bez da dropper prodje neku analizu u laboratoriji.

@Vladimir_Z
Nadam se da sada mozes da uvidis gresku u tvom pitanju.

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

@booby
znaci ti nama u stvari govoris da danas jedan od jako zasupljenih packera biva jako rekto otkrivan (mislim na NSIS i Inno Setup) tj njegov sadrzaj?

• 1Ovo se svidja korisniku: mcrule
  
  Registruj se da bi pohvalio/la poruku!

Inno ide nekako, tj. vec neko vreme ga vise AV programa mogu rasturiti da bi ga skenirali.
Sto se tice NSIS-a, do skora je KAV imao ekskluzivnu mogucnost da ga 'rasturi na atome' da bi ga skenirao.
Pre neki mesec je jedan Rus napravio program za 'rasturanje' instalera koji podrzava i NSIS, ali ne funkcionise bas uvek.
Prikazuje sadrzaj svih NSIS streamova, ali dobar deo ne moze da raspakuje.
Ja sam uspeo da njime otpakujem desetak startijih NSIS arhiva, ali mi je zato na tri arhive blokirao Windows.

Iz ovog razloga, NSIS se dosta koristi za rasturanje Adwarea na netu.
Na p2p puno puta mozes da nadjes spot/pesmu/film sa EXE ekstenzijom.
Vecina njih su NSIS instaleri koji ce da ti raspakuju sadrzaj tek ako pristanes da ti instaliraju adware.

Ja sam moj Total Commander toliko nacickao pluginovima, da vecine instalera otvaram kao da su ZIP arhive, i po pravilu uvek prvo rasturim fajl pre nego sto ga instaliram (navika).
FAR je mozda napredniji od TC-a po ovom pitanju, ali mi se ne svidja interfejs.

• 1Ovo se svidja korisniku: mcrule
  
  Registruj se da bi pohvalio/la poruku!

Nije greska u pitanju, vec sam "permutovao" u kucanju.
Ajde sad ponovo, dali postoji neki AV koji bi,recimo, u 70% slucaja uspeo da se izbori sa pakerima.

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

Vladimir_Z ::Nije greska u pitanju, vec sam "permutovao" u kucanju.
Ajde sad ponovo, dali postoji neki AV koji bi,recimo, u 70% slucaja uspeo da se izbori sa pakerima.

Zaista neznam dali si shvatio post od bobby-a dva puta je napisao u cemu je problem
Vecina AV programa manje-vise lepo podrzava rad sa Arhivama i Arhivama sa kompresijom.
Problem su pakeri, instaleri, i zadnja grupa.
i tu ti lezi ceo odgovor

• 1Ovo se svidja korisniku: mcrule
  
  Registruj se da bi pohvalio/la poruku!

@Vladimir_z
Ima AV programa koji se lepo snalaze sa pakerima i sa instalerima. Neki lepo mogu da izadju na kraj sa packerima pomocu heuristike, cak iako ne poznaju packer. Pogledaj nas AV test za malo podataka o tome.

Jedini veci problem koji je prisutan za sve AV programe su dropperi.