herm1t LIVE!ng room - Детекты мирного софта [entries|archive|friends|userinfo]
herm1t

[ website | twilight corner in the herm1t's cave ]
[ userinfo | ljr userinfo ]
[ archive | journal archive ]

Детекты мирного софта [Aug. 22nd, 2014|03:57 pm]
Previous Entry Add to Memories Tell A Friend Next Entry
[Tags|, ]

Всегда подозревал, что в антивирусных компаниях сидят дебилы. В этот раз отличился Avast, накрыли сигнатурой абсолютно нормальный код. Не сумели привязаться ни к чему, и добавили функу шифрования (в ней запоминающиеся константы).
LinkLeave a comment

Comments:
[User Picture]
From:[info]ketmar
Date:August 22nd, 2014 - 06:19 pm
(Link)
«может и дура, а свой полтос в день имею!» (ц)
[User Picture]
From:[info]herm1t
Date:October 21st, 2014 - 09:38 pm
(Link)
о, нашел анекдот (да, я знаю, что я тормоз)
хороший.
я просто был в ахуе, потому что часть кода накрытая сигнатурой, она с википедии, референс. )))
[User Picture]
From:[info]ketmar
Date:October 21st, 2014 - 09:51 pm
(Link)
ну ты как будто действительно думаешь, что там сидят не такие же макаки, как везде, а кто-то умнее.

то есть, несколько умных есть, конечно, а остальные — это те, кого в телефонную поддержку не взяли, потому что трубку пытался себе в задницу засунуть.
[User Picture]
From:[info]herm1t
Date:October 21st, 2014 - 10:01 pm
(Link)
так, я как-то смотрел что там с зряплатами. смех один.
никто кроме макаки туда не пойдет.
умных видел. двух или трех. )
[User Picture]
From:[info]ketmar
Date:October 21st, 2014 - 10:05 pm
(Link)
я тоже такое вот слышал. сам не смотрел, потому что ленивый.

а умных туда надо, конечно, потому что кто-то ведь должен всю бякость заставить хотя бы делать вид, что она работает. но много их брать невыгодно, потому что они же умные, они и денег хотят как умные. а пипл ничуть не хуже покупает и то, что макаки производят.
[User Picture]
From:[info]herm1t
Date:October 21st, 2014 - 10:09 pm
(Link)
а по мне, так пусть все это запутается еще больше, чтобы был киберпанковый взрыв на макаронной фабрике. чтобы по сети нужно было ходить, как по джунглям, сжимая кремниевый скребок^W флешку в руке. )
[User Picture]
From:[info]ketmar
Date:October 21st, 2014 - 10:12 pm
(Link)
ну, я тоже не против, тащемта. хотя если с другой стороны взглянуть, то получается, что опять пидарасы нормальных людей нагибают. то есть, хуёво всё потому, что пидарасы тупые и учиться не хотят, а страдают как раз те, кто не тупые и обучаемые. потому что пидарасам-то совершенно без разницы, живёт у них какой-нибудь зверинец и гадит в интернеты, или нет.
[User Picture]
From:[info]ketmar
Date:October 21st, 2014 - 10:14 pm
(Link)
опять же, увлекательные runtime instrumentation & code generation практически в гетто загнали.
[User Picture]
From:[info]ketmar
Date:October 21st, 2014 - 09:53 pm
(Link)
ну и опять же: честному-то человеку ничего шифровать не надо, от кого ему прятаться?
[User Picture]
From:[info]herm1t
Date:October 21st, 2014 - 10:02 pm
(Link)
дык, в том-то и дело, что код - это референс крипто-алгоритма.
он будет одинаковый везде (в пределах минора компилера).
это значит, что макака не распознала стандарт.
[User Picture]
From:[info]ketmar
Date:October 21st, 2014 - 10:06 pm
(Link)
ну откуда? копать же надо, когда тут учиться? константы какие-то, сдвиги, ксорилки — ну ясно же, что код зловредный, чего там дальше разбираться?
[User Picture]
From:[info]ketmar
Date:October 21st, 2014 - 10:07 pm
(Link)
ты же отлично в курсе, что макаки вообще обожают детектить всякие пакеры да крипторы. дёшево и сердито.
[User Picture]
From:[info]herm1t
Date:October 21st, 2014 - 10:14 pm
(Link)
я уже немного отошел в сторону, но когда (снова) приходится разбираться в эйверском говне и сбивать детекты - включается негодовалка Ж-) это еще был продвинутый вариант, часть детектов отвалилась после того, как я чуть-чуть изменил таблицу сегментов, часть - разбавил мусором таблицу импортов. остался один, который задетектил по коду. и тут сразу феил. )
[User Picture]
From:[info]herm1t
Date:October 21st, 2014 - 10:24 pm
(Link)
уупс )
[User Picture]
From:[info]ketmar
Date:October 21st, 2014 - 10:25 pm
(Link)
думаешь, прочитают? им некогда, надо сигнатуры пилить. %-)
[User Picture]
From:[info]herm1t
Date:October 21st, 2014 - 10:27 pm
(Link)
потому и не тру камент )
[User Picture]
From:[info]ketmar
Date:October 21st, 2014 - 10:24 pm
(Link)
да я уверен, что если через двадцать лет вдруг это всё ещё сохранится — то ничего в ав не поменяется вообще в техническом плане. у меня как-то был вообще обалденный детект по иконе софтины. я чуть не поседел, пока пытался понять, что же такое я неправильно сделал и как мне пояснять клиентам, что аверы — тупые пидарасы.
[User Picture]
From:[info]herm1t
Date:October 21st, 2014 - 10:26 pm
(Link)
там в техническом плане очень мало поменялось.
сигнатуры. и кто кого перехукает. скучища.
[User Picture]
From:[info]ketmar
Date:October 21st, 2014 - 10:27 pm
(Link)
не поверишь: тупо взял икону от флэша, кажется, поцепил с мыслью «потом поменяю» и забыл. ну кто там на эти иконы смотрит, когда код пилится?
[User Picture]
From:[info]herm1t
Date:October 21st, 2014 - 10:28 pm
(Link)
о! если не стошнит попробуй под ведроил что-нибудь.
там эвристические правила, мм-мм, удивительные. ;-)
[User Picture]
From:[info]ketmar
Date:October 21st, 2014 - 10:32 pm
(Link)
я когда-то пробовал, когда ведроид ещё в ползунках был. правда, и тогда не на жабе, а на kawa пытался писать. а сейчас всё собираюсь посмотреть, что же там наворотили за прошедшее время, но лениво.

однако надо будет посмотреть, конечно, спасибо. я и не знал, что там тоже анализаторы прикрутили. %-)
[User Picture]
From:[info]herm1t
Date:October 21st, 2014 - 10:35 pm
(Link)
эйверы там жгут напалмом.
был у нас разраб под это дело, но как-то не срослось.
пришлось быстро осваивать яву, по принципу, STFG -> хуяк, хуяк и в продакшн, клиент потестит ) об эйверах тоже узнал много нового. за то, что понахуякивал в коде немного стыдно. ) но. код работает и его все равно никто не увидит.
[User Picture]
From:[info]ketmar
Date:October 21st, 2014 - 10:39 pm
(Link)
ну, мне за каждый свой «платный» продукт стыдно, и за половину как минимум того, чем бесплатно сеть засираю. но когда это кого останавливало? %-)
[User Picture]
From:[info]herm1t
Date:October 21st, 2014 - 10:57 pm
(Link)
точно. в одном из продуктов нашел сегодня баг, который затрагивает коровый функционал и приводит чуть ли не крешам, и за год никто не пожаловался. даже странно. видимо, даже в уебищном виде работает лучше чем остальное (когда заглядывал в украденные исходники конкурентов - смеялся в голос).
[User Picture]
From:[info]ketmar
Date:October 21st, 2014 - 11:00 pm
(Link)
о-о-о, историй про «я сегодня у себя баг нашёл, и остался только один вопрос: как оно вообще работать могло?!» у каждого, думаю, вагон. но вопрос от этого никуда не девается, действительно интересно, как оно умудрялось с таким багом работать, и как клиенты умудрялись это использовать.

и действительно, начинаешь думать, что ты ещё не днище, раз кто-то и хуже умудряется сделать. %-)
[User Picture]
From:[info]herm1t
Date:October 21st, 2014 - 11:06 pm
(Link)
угу. при этом речь идет о десятках и сотнях запросов в секунду, а там одновременно - рейсы, и коррапшн, и неактуальные данные. а на моих тестах баг не мог возникнуть в принципе. #facepalm ну, хорошо, что нашелся один дотошный, который таким боком задачу поставил, что все это наконец-то проявилось. а конкуренты - это да, источник хорошего настроения. )
[User Picture]
From:[info]ketmar
Date:October 21st, 2014 - 10:42 pm
(Link)
я, кстати, когда однажды устроился на работу, когда ещё на Java ME писали, точно так же её учил. потому что мне сразу дали задание ехать, а завести потом можно. заодно там же познакомился с чудной intellij idea, феерическая хуйня была.
[User Picture]
From:[info]herm1t
Date:October 21st, 2014 - 10:52 pm
(Link)
когда передавал проект, пришлось по тимке показівать, как ADT и eclipse ставить на бубунту... деплоймент, бля. (это при том, что рядом лежит pdf со скриншотами...)
[User Picture]
From:[info]ketmar
Date:October 21st, 2014 - 10:54 pm
(Link)
по-моему, это как не ставь — всё равно раком получается. %-)
[User Picture]
From:[info]herm1t
Date:October 21st, 2014 - 10:58 pm
(Link)
дык, там же бандл. и цель рядовому необученному - сделать import, clean, export и ничего не трогать. ) и все равно возникают проблемы. хорошо бы с сапортом больше вообще не иметь никаких дел. рехнуться же можно. )
[User Picture]
From:[info]ketmar
Date:October 21st, 2014 - 11:02 pm
(Link)
>сделать import, clean, export и ничего не трогать
тут как минимум три очень сложных действия и одно просто сложное. %-)
[User Picture]
From:[info]herm1t
Date:October 21st, 2014 - 11:08 pm
(Link)
ага, но самое сложное, это НЕ впихнуть откровенной хуеты в ТЗ за десять минут до готовности.
[User Picture]
From:[info]ketmar
Date:October 21st, 2014 - 11:03 pm
(Link)
вот тоже, кстати, бьюсь над загадкой: почему когда надо что-то тронуть, то никто и пальцем не шевельнёт, а когда не надо, особенно когда просишь не трогать ничего — не успеешь отвернуться, а уже все, кто мог дотянуться, всенепременно что-то «поправили».
[User Picture]
From:[info]herm1t
Date:October 21st, 2014 - 10:05 pm
(Link)
а по поводу честных людей. настолько старая заебь, что даже обсуждать не хочется.
если все вокруг такие честные, то и спецуре зачем что-то вскрывать? читайте паблик, получайте ордера, не забудьте прочитать миранду. )
[User Picture]
From:[info]ketmar
Date:October 21st, 2014 - 10:08 pm
(Link)
ну, самые умные примерно так и делают, думаю. %-)