virustotal ошибается

Простая программа с вызовом одной api функции. Virustotal ругается на fasm. Virustotal ругается на masm.

 

такая у него работа
вам - платить $
ему - молчать
иначе по дефолту

 

Если программы такие простые, тогда где их код. Может к ним из вашей системы успевает что-то прицепиться.

 

Тут нужен полиморфный пакер и/или протектор на базе элитных визоров.

 

Rel

Авер что бы открыть нэйтив тело исследуемого образца запускает его в виртуальной машине. По причине тайминга вирта до предела проста и оптимизирована.

Такого типа вирта не поддерживает секвенацию(это разлажение кода на базовые части, те трассировку условно говоря), что и делают те самые дби(визоры).

Ловушки на исполнение - когда вирта видит выборку на исполнение адреса, при этом нет данных в памяти и выборки на чтение(в отличие от нэйтив read-execute fetch). Есть адрес msgbox(), тела ее в памяти нет. Транслятор/эмулятор(визор) выполняет ту самую r-x-fetch, а для этого уже нужно тело обьектов среды исполнения(апи).

Некоторый обьект в среде, интерфейс вызывается уже не как адресная ловушка, а как некоторый шлюз вирты, таким образом он останется например при перемещении в памяти. Это нарушает целостность датафлоу(cfi), любой метод по защите памяти не совместим с авер виртой, пример:
Toward Taming the Overhead Monster for Data-Flow Integrity

Когда на каждой машинной итерации подтверждается выборка, авер и прочий эмулятор становится нерабочим. Далее это полноценный антидамп, так же с контекстом потока нельзя выполнить манипуляции.

Флоу можно не связывать в виде проверки, а поступить иначе - разбить указатели(поинтер флоу) с тем же успехом. Но кто такое реализует

 

Сто пудов угрозы называются malicious.fasm suspicious.masm. Или нет. Нафига там вообще что-то читать, хрюкает же?

 

А что если использовать си вместе с ассемблерными вставками? Может тогда virustotal перестанет ругаться. Есть же mplayerc, который проходит проверку на virustotal.

 

Объективность вирустотала всегда являлась спорным моментом.
Ну например: берём скомпилированный файл и закидываем на проверку.
Видим, что аверу от MS что-то не нравится

Ок, берём из любой системной библиотеки файл сертификата и запихиваем его в PE (да он не действительный, но он там есть). Снова закидываем файл на проверку.
Видим, что у авера от MS вопросов больше нет


Смена языка программирования не приведёт ровным счетом ни к чему.
Современным аверам очень не нравится когда кто-то использует такие api как работа с памятью, виртуализация, недокументированные функции и т.д.

 

Первая угроза в том, что "нейросеть обнаружила креветку-иисуса". Вторая угроза "на протекторах мои полномочия всё". Третья угроза скорей всего тоже направление ветра, померянное модной нейросетью, но упоминания нейросети стыдливо убраны. Объективность вирустотала как раз в том, что прекрасно понимая какое гавно каждый антивирус по отдельности, он накидыват как можно больше результатов. И по этой картине опытный пользователь в принципе может понять, что всё нормально.

 

Что может сделать нейронка с сигнатурами(датасетом), кроме генерации ошибок

 

Смотря какая нейронка. Вероятно вся соль в весовых коэф.

 

нейронна может (сможет) все
вон уже за 2 часа разговора ИИ полностью дуплицирует человека

 

alex_dz

В данном случае ничего не сможет. Детект двух типов, однозначный по сигнатуре или же фейк - статистика, ну может 10e-12 вероятность вредоносности. По факту это вероятность ошибки, а не детекта. Эти полиномы как сову на глобус не натянуть в технических задачах.

 

На тему нейросетей. А теперь представьте, что это ваш антивирус.

 

Как говорят всяческие мл-инженеры и прочие датасатанисты: плохих нейросетей не бывает, бывают плохие данные для обучения. Ну или данных бывает недостаточно. Забавно, что эти ваши чатыгпт уже весь интернет в себя запихнули, но так и не научились не лажать, мне очень интересно, как в будущем будет решаться проблема недостатка данных для обучения, ведь от обучения генеративной нейронки на сгенерированных нейронкой данных она быстро деградирует.

 

Rel

Можно пример, сильный такой что бы я удивился, пусть гипотетический. Нейросеть это мат функция, она не может дать данных, которых в ней нет(исходный датасет). Единственное что в данной теме может нейронка как и говорил лишь ошибаться, еще больше фейковых детектов.

Забавно что в лк пишут, надеясь на какие то мистические свойства ии, видать не понимают что это подмена понятий

 

Спойлер: Подготовка датасета для машинного обучения

 

а как повашему пашет мозг человека?
там же сети
сети сетей
сети сетей сетей...
у них тот же принцип или там терра инкогнита?

 

alex_dz

Мозг работает по принципу стимул -> реакция. Ничего другого нет.

 

а что такое ДНК, кто тот, что прописал туда зетабайт вагон инфошки и вообще