Программная защита / обфускация кода, не вызывающая ложных срабатываний антивируса

Вам придется свернуть свою собственную. Ложные срабатывания происходят из-за «сигнатур», соответствующих известным вредоносным программам. Например, если какое-то вредоносное ПО использует upx для сжатия, и сканер обнаруживает upx, скомпилированный в ваше приложение, вас могут неправильно идентифицировать.
Вы можете получить ложное срабатывание только потому, что сканер обнаружил, что вы используете Delphi (или любой другой компилятор, если на то пошло). Но чем более неясно, тем выше уверенность в том, что сканер думает: «Я нашел здесь что-то УНИКАЛЬНОЕ» и сверяется со своим каталогом известных вредоносных программ. ]

Если бы служба безопасности в аэропорту работала так же, как компании по борьбе с вредоносным ПО, меня бы сразу застрелили в аэропорту, потому что я мужчина с каштановыми волосами и карими глазами.

Если сканер достаточно ленив, вас могут пометить установщик, который вы используете, сторонние компоненты, которые вы используете, строки ресурсов, «случайный шанс», что-то связанное с сертификатом подписи кода или компилятор, который вы используете.

Кто-то создаст вредоносное ПО с помощью FireMonkey. Некоторые антивирусные программы (возможно, несколько) это заметят. Некоторое время это будет проблемой для приложений FireMonkey.

Вот интересное обсуждение: Случайно создали вирус?

Arxan guardIt предназначен для работы с приложениями Visual C ++, но предприимчивый разработчик Delphi может использовать его для защиты свою продукцию. Я знаю одно очень популярное коммерческое приложение, написанное на Delphi, которое его использует, но вы должны сами написать некоторые инструменты для преобразования файлов карты Delphi и другой отладочной информации в форматы Visual C ++.

Если вы хотите попробовать свои силы, имейте в виду, что задача состоит в том, чтобы быть умнее хакеров и создать больше уровней контрзащиты, которые зависят друг от друга трудным для определения образом, чтобы успешно противостоять взломщикам. Лично я считаю, что вы все равно не заставите этих людей давать вам деньги, поэтому тратить свое время на то, чтобы удерживать их от использования вашего программного обеспечения, - это просто отрезать себе нос в назло своему лицу. Но если это ваша тяжелая работа в Интернете в треснувшей форме, то во что бы то ни стало, продолжайте пытаться превзойти их.

Обратите внимание, что если вы овладеете передовыми методами, такими как самомодифицирующийся код, вы почти наверняка будете отмечены каким-либо программным обеспечением для обнаружения вредоносных программ, и вам нужно будет запросить включение в белый список. Если вы не готовы заходить так далеко до самомодифицирующегося кода, то даже пытаться может быть ноль смысла. Мне неизвестно ни о чем, что противостоит прямым методам декомпиляции в автономном режиме, которые не требуют самомодифицируемых методов своевременного восстановления и повреждения.

Простые старые методы дешифрования exe, которые выполняются один раз при запуске, также чрезвычайно легко обойти и полностью удалить, как только незашифрованный exe полностью загружен в память.

Думаю, вы могли бы взглянуть на один под названием The Enigma Protector

Разработчик хорошо осведомлен о проблемах с ложными срабатываниями и активно взаимодействует с AV-компаниями по этой проблеме. Вот что разработчик сказал по этому поводу в одном из сообщений на форуме: «Начиная с Enigma Protector 3.0, для защищенных файлов не будут появляться ложные срабатывания!» Ссылка на сообщение форума

Я использую эту защиту с тех пор, как несколько лет назад перешел с Ice License, и у меня была только одна проблема с ложным срабатыванием. Я сообщил об этом разработчику, и он сразу же связался с Avast вместо меня. Это было решено при следующем обновлении антивирусных программ.

Защита имеет множество функций и очень полезный файл справки. Он использует систему маркеров для виртуализации, и когда код в этих маркерах запускается, он будет использовать специальный язык, известный только системе защиты, который называется PCODE на внутреннем виртуальном процессоре.

У него есть собственный API, и для него можно писать плагины. Он также включает в себя виртуальную коробку для файлов и реестра, но теперь я могу продолжать бесконечно.

Крис

Я думаю, тебе стоит посмотреть на это по-другому. Мы используем Oreans, и у нас были похожие проблемы, но мы обходили их, подписывая исполняемые файлы. Антивирусному программному обеспечению требуется немного больше времени, чтобы проверить ваше приложение, но большинство по-прежнему сочтет его свободным от вирусов, если оно имеет цифровую подпись.

Причина, по которой я говорю это, заключается в том, что системы защиты меняются, как и антивирусные системы. Сегодня вы можете найти систему, которая успешно проходит антивирусный тест, а завтра, когда кто-то выпустит шпионское ПО, зашифрованное тем же продуктом, ваша, будет помечена как вирус.

Обновление. Есть несколько отдельных случаев, которые все еще жалуются, но большинство принимают подписанный как действительный (мы получаем 6 из 43 флагов, тогда как без подписи у нас было больше половины жалоб)

Да, есть решения. (Отказ от ответственности: я работаю в компании, занимающейся защитой программного обеспечения Wibu-Systems), и я могу заверить вас, что CodeMeter не не запускает антивирусные системы и не требует прав администратора для установки. Я также могу сказать вам, что любое домашнее решение, вероятно, будет взломано довольно быстро - мы потратили годы (как и другие поставщики в этом пространстве, такие как Arxan, Safe-Net и Keylok), разрабатывая методы, которые сбивают с толку и сбивают с толку. -быть взломщиками.

Большинство взломщиков просто используют отладчик для установки точки останова в процедуре проверки лицензии (сообщение об ошибке или диалоговое окно, которое предоставляется пользователю), а затем исправляют код языка ассемблера при проверке аутентификации (ищите что-то вроде сравнения EAX с EBX и измените код, чтобы он всегда возвращал истину). Таким образом, им не нужно пытаться деобфускировать ваш код и т. Д. Вот почему большинство коммерчески доступных решений используют шифрование, а не какую-либо проверку подлинности / валидации - шифрование невозможно исправить. Но даже зашифрованный исполняемый файл может быть выгружен в память и перестроен, если вы не достаточно хорошо разбираетесь в том, как переупорядочивать формат файла PE и обрабатывать хранение ключей и обмен ключами.

Учитывая, что стоимость коммерческой системы со всеми ее сильными сторонами и преимуществами (управление лицензиями, гибкость, кроссплатформенная поддержка и т. Д.) Может быть довольно низкой, зачем использовать собственную? Большинство людей не пишут свои собственные установщики, поскольку вы можете использовать MSFT, InstallShield или NSIS - зачем писать собственное решение для лицензирования и защиты?

Полагаю, вы не получите 100% гарантии, но у меня никогда не было проблем с Armadillo. Защитите свой exe и подпишите его действующим сертификатом.

Как всегда, это непросто.

Я бы сказал, что вам следует начать искать продукт, который применяется во время компиляции, а не после. Упаковщики, упаковывающие двоичные файлы, всегда будут давать подозрительный результат, так как действуют так же, как и вирус.

Я считаю, что многие схемы защиты игр, такие как Sonys SecuROM, делают это или, по крайней мере, начинают это делать. Но кто-то может возразить, что, хотя вы в безопасности в отношении ложных срабатываний, взломщики уже знают, как победить эти основные продукты.

Итак, вам нужно найти этот хороший многообещающий продукт для звонков.

Попробуйте использовать шестнадцатеричный редактор, чтобы отредактировать заголовки, такие как «UPX» и т. Д. Бинарному файлу они не нужны, только инструмент, который их распаковывает.