KIS sandbox

прога написана на асме
она себя расспаковывает

при проверке kis2010 - ок
а вот при запуске он анализирует прогу и говорит что она опасная

если я ставлю инт 3 - он не ругется (но прога не работает)
я поставил инт 3, но перед ним написал код который меняет инт 3 на что-то полезное
прога работает, но кис говорит, что она опасная

помогоите, натолкните как с ним бороться? как сбить его песочницу

спасибо.

 

если использовать SEH для обработки int 3 ?

 

Пробовал - палит!!

 

Наш kaspersky и антивирус этого имени из одного племени?

 

omronez

Точнее.

 

при проверке файла - ок.
а при запуске анализирует и говорит опасная програма!
если убрать код распаковки то не ругается при запуске.
или если поставить инт 3 или ещё чего-то, от чего прога просто не работает,
то кис не ругается и разрешает молча проге выполняться!
вроде обЪяснил. если чего не так - простите.
помогите.

 

Проактивка мб?

 

ок так как её преодолеть? не подскажите?

 

вряд ли на халяву. но можно.

 

Mankubus
Видимо нет:

omronez
Может импорт не нравится, может есчо что, причин множество. Наверно вам нужно эмулятор обойти какимто способом.

 

эмулятор должен был бы сработать и при простой проверке без запуска.
а что конкретно ему не нравится? цикл расшифровки? извлечение файла?

 

K10
Автор сказал что не детектит если нет анпакера. Таким образом он видит в нём чтото подозрительное.

 

Он анализирует запускаемую программу по куче параметрам имхо.
Цифровая подпись, импорт, pe хидер, атрибуты секций,куда указывает EP, энтропию, значки, VersionInfo
что то в этом роде, и ставит рейтинг опасности.

 

Можно попробывать сделать "взаимодействие с пользователем". Например ждать воода от пользователя, а в отдельном потоке осуществить этот ввод. вполне возможно, что прокатит.

 

mrcrown
не прокатит

 

Делал?

 

omronez,слушайте, если вы убираете распаковщик - программа остается рабочей? Это важный вопрос.
И вот еще. КИС матерится при запуске файла или при совершении им каких-то действий? Можно попробовать сделать что-нибудь вроде задержки в самом начале, чтобы проверить.

Sunzer, он это делает и при сканировании файла, а не только при запуске. Хотя может при запуске у него +к рейтингу, не проверял.

Похоже на проактивку это, если бы не

, хотя, возможно, это анпакер ваш и палится.

 

Код (Text):

1. Можно попробовать сделать что-нибудь вроде задержки в самом начале

на функи типа Sleep у него костыли стоят, он ее просто пропускает и идет дальше

 

karabas_barabas
А есчо наверно cli, hlt, int3, wrmsr etc etp. Они кпл не различают ))

 

но на всяком неестественном поведении он и ловится... при детекте эмуля переводи на код создания форм, окошек , рюшек *уюшек + "опасные" функи получай динамически и будет тебе счастье