Тема http://virusinfo.info/index.php?board=18;action=display;threadid=574 плавно перетекла в обсуждение возможности находить вирусы в упакованных файлах различными антивирусными программами. Похоже, назрела необходимость создания отдельной темы для обсуждения этого вопроса.

Результаты тестирования, имеющиеся на данный момент, доступны здесь: http://www.securinfo.ru/AvTestsPackers

Вообще, стоит ли проводить такое исследование? Ведь эта информация может быть использована теми, кто занимается распространением вредоносных программ.

Классная табличка, но её нужно перевернуть, т.к. паковщиков много, и табличка скоро вылезит за оределы окошка :)
Стоит её перевернуть пока не слижком много данных :)

Вообще, стоит ли проводить такое исследование? Ведь эта информация может быть использована теми, кто занимается распространением вредоносных программ.

Я думаю те кто пишут вирусы и так знают. А вот антивирусные фирмы такие исследования могут подстегнуть. Кому охота быть последним? :)

Немного надо подправить UPX для NOD32, попытаюсь в ближайшее время произвести более точную проверку, но пока рекомендую поставить +/-, то есть понимает, но не всегда....

Я думаю те кто пишут вирусы и так знают. А вот антивирусные фирмы такие исследования могут подстегнуть. Кому охота быть последним?

Согласен, жаль только все мои иследования не оказывают никаких влияний на NOD32. В планах правда его прикупить и протестировать службу сопровождения. Возможно мой взгляд на них кардинально изменится.

Протестировал YodaCryptor1.3 и AsPack 2.12 результат положительный со всеми четыремя антивирусами.

Следующие антивирусы прошли проверку (правда каждый с разным результатом :) ):

AVG
BitDefender
F-Prot
Panda

На сей раз использовался сервис VirusTotal. Тест, по крайней мере для меня,не принес каких либо неожиданостей. За исключением того что заинтересовался антивирусом BitDefender (пока мне представляется хорошей альтернативой KAV по качеству, посмотрим еще на его производительность).

Так где результаты-то?:)

Немного надо подправить UPX для NOD32, попытаюсь в ближайшее время произвести более точную проверку, но пока рекомендую поставить +/-, то есть понимает, но не всегда....

Если не всегда, то не понимает. Просто в базах есть упакованная версия.

Если не всегда, то не понимает. Просто в базах есть упакованная версия.

Могу ручаться что нет. NOD32 пишет каким упаковщиком упакована программа (так вот upx она находит, я проверю на более старых версиях).

Так где результаты-то?:)
Все там же... Лень набивать дважды :)

http://ex-vdcom.ru/forum/viewtopic.php?p=615

Протестирован exe32pack 1.42 (SteelBytes) и PEncrypt v4.0 ( Phi ). BitDefender опять творит чудеса. Подкачал Dr.Web в файле который кодом (!) (после модификации exe32pack) не отличался от оригинала.

Значит я не зря советую BitDefender :)

UPX и NOD32

_upx.dat »UPX v12_m2 - Win32/TrojanDropper.Small.NAQ trojan

Почему на упакованном Win32/Delf.HF trojan он не определялся для меня пока остается загадкой...

Значит я не зря советую BitDefender

Не зря :) Вопрос как его купить.... Да и пока реально в руках его не держал... Тот же самый НОД не смотря на проявленную слабость, работает достаточно стабильно и пока меня вполне устраивает, если будет найдена такая же стабильная и производительная замена с лучшим качеством, я первый на нее перейду...

Еще немного о NOD32 и UPX.

Тест показал что NOD32 понимает прекрасно версию UPX 1.24w. Версию же UPX 1.90w он понимает только в режиме упаковки "-1". Качать промежуточные версии для анализа особого желания нет... Но суть понятна...