Author Topic: Почему детект UPX ?!  (Read 750 times)

0 Members and 1 Guest are viewing this topic.

Offline f2065

  • Newbie
  • *
  • Posts: 2
  • Программист
Почему детект UPX ?!
« on: September 28, 2021, 03:58:47 PM »
Вот уже не первый раз замечаю, что на упакованный в UPX файл - есть детект типа Win32:Malware-gen

Причём я упаковываю свои собственные программы, где 100% нет никакого вредного функционала.
На распакованный файл - детекта нет.
Стоит сделать «upx --best --ultra-brute» - и всё, детект.

Можете объяснить почему так? Мне это представляется абсурдным.
UPX оригинальный, антивирус должен бы во-первых понять что это оригинальный UPX (по наличию оригинального распаковщика), во-вторых распаковать секции и не найти там ничего плохого (как он не находит в распакованном файле).

Offline Игорь Н.

  • Full Member
  • ***
  • Posts: 118
  • Игорь Н.
Re: Почему детект UPX ?!
« Reply #1 on: September 28, 2021, 05:47:30 PM »
Не может ли быть так, что двоичный код (или его часть) результирующего файла похожа на тело или сигнатуру вируса? Попробуйте упаковать с другими параметрами.
«Мы живём в своих поступках, а не в теле. Ты – это твои действия и нет другого тебя»
/© Антуан де Сент-Экзюпери/

Offline _George_

  • Avast Sales Specialist
  • Avast Reseller
  • Massive Poster
  • *
  • Posts: 3493
  • Дистрибьютор Avast и AVG
    • www.belrus.net
Re: Почему детект UPX ?!
« Reply #2 on: September 28, 2021, 07:48:29 PM »
Адресуйте вопрос техподдержке.
www.belrus.net - Avast Distributor & AVG Distributor in Russia and CIS. Бесплатный телефон для пользователей платных версий: +7-800-707-708-7

Offline f2065

  • Newbie
  • *
  • Posts: 2
  • Программист
Re: Почему детект UPX ?!
« Reply #3 on: September 29, 2021, 11:03:59 AM »
Не может ли быть так, что двоичный код (или его часть) результирующего файла похожа на тело или сигнатуру вируса?
Может и так. Допускаю что многие вирусы тоже были упакованы в UPX.
Но, это во-первых очень уж часто бывает, во-вторых - антивирус в принципе обязан детектить упакованный файл и искать сигнатуры после его распаковки (особенно если в файле не модифицированный распаковщик).

Попробуйте упаковать с другими параметрами.
Пробовал. compress-exports и strip-relocs не влияют никак. Уровни сжатия - влияют непредсказуемо (иногда детект пропадает, иногда нет).

Адресуйте вопрос техподдержке.
Они конкретные программы включают в белый список в ближайшем обновлении и всё. Но проблема то системная у Аваста. И я вот не вижу разумного объяснения такому явлению.

Offline _George_

  • Avast Sales Specialist
  • Avast Reseller
  • Massive Poster
  • *
  • Posts: 3493
  • Дистрибьютор Avast и AVG
    • www.belrus.net
Re: Почему детект UPX ?!
« Reply #4 on: September 29, 2021, 12:56:00 PM »
Здесь нет разработчиков. Это форум пользователей. Ваша тема - выстрелы по воробьям.
www.belrus.net - Avast Distributor & AVG Distributor in Russia and CIS. Бесплатный телефон для пользователей платных версий: +7-800-707-708-7