Размер имеет значение?

[Quake3]

Хотелось бы обсудить такую тему. Вопрос возник после чтения обзора от Ar3s о dirt jumper'e. Все таки - насколько важен размер малвари, и какой оптимальный - большой, небольшой, микро? Просто везде,имхо, есть свои плюсы и минусы.
И правда ли это, что многие антивири автоматом банят маленькие ехе? Если да - что тогда делать, если малварь написана на Асме? Вставлять куски мусорного кода куда-то или как?

 

[Pernat1y]

Лично я - за разумные пределы. e.g. 10~100 kb, в зависимости от функционала

Вставлять куски мусорного кода куда-то или как?

Можно иконку прилепить, например. Или курсоров и прочего в ресурсы добавить, что-бы на нормальное приложение смахивать

 

[of69]

И правда ли это, что многие антивири автоматом банят маленькие ехе?

Этого не может быть.
А размер наверное от назначения зависит - если лоадер то палюбому должен быть очень лёгким, остальное пох...

Голосую за 3й вариант)

 

[Gdark]

Я думаю что если слишком большой размер, то это никак не повлияет,а вот маленький то да, да и в бан антивиря не попадешь только из-за размера, там очки надо набирать)

 

[Lоzzie]

Все таки - насколько важен размер малвари, и какой оптимальный - большой, небольшой, микро? Просто везде,имхо, есть свои плюсы и минусы.
И правда ли это, что многие антивири автоматом банят маленькие ехе?

Считаю, что размер должен соответствовать возможностям приложения. Если говорить о dirt jumper и подобных приложениях, то, например модуль, отвечающий за проверку доступности удаленного хоста, никак не должен занимать 50-100KB.

Степень важности размера приложения, думаю, зависит только от способа его распространения. Если это съемные устройства или локальная сеть, то несколько лишних килобайт никак не скажутся на конечном результате.

Антивирусное ПО может учитывать размер, но только для блокирования приложений по совокупности характеристик. Сомневаюсь, что кто-либо из нас встречал описание сигнатуры от какой-либо антивирусной компании, где был бы указан только размер файла.

 

[SilverT]

"Давай докажем, Витя, давай докажем..."

Давайте отделять мух от котлет?
Вредоносный код должен быть маленьким и быстрым, занимать как можно меньше ресурсов и процессорного времени. Это чтобы жить.

И ведь заметьте, все зависит от конкретных условий. Допустим лоадер. Рисуем схему, а точнее две =)

1. Сплоит -> Шеллкод -> Загрузка EXE -> Запуск EXE -> Запись в автозапуск -> Цикличная проверка команд из центра управления, выполнение полезной нагрузки.
2. Сплоит -> Шеллкод, несущий в себе тело загрузчика -> Инфекция загрузчиком системного бинаря -> Скачивание и запуск в своем контексте куска кода-малвари(не обязательно exe или dll, любой удобный формат) и так при каждом новом запуске бинаря с загрузчиком на борту

Как Вам интереснее? В общем все от схемы и целей зависит, вопрос с антивирусом поставлен неправильно, сканирования файла на диске с поиском сигнатур и эвристикой может и не быть, как это можно увидеть во второй схеме. Малварь - это не исполняемый фаел с каким-то размером, а некоторая идейная сущность, воплощение которой выражаться может по-разному. Абстрагируйтесь.

 

[Ar3s]

Сегодня на нашем форуме как раз написали что каспер особо реагирует на exe меньше 3кб. Значит нам этого бояться не приходится.

Для общей статистики нормальные (в моем понимании) размеры для малвари следующие:
лоадер - 10-50кб
сокс - 10-50кб
ддос - 10-100кб (100 - если на борту есть все что можно себе представить)
стилер - 30-80 кб.
спамер - 30-100кб
подмена - 50-150 кб.
RC (remote controll) - 50-150кб.

ну и для истории. Напомню, что за время моего пребывания на форуме рекордно малый лоадер был всего 1,6кб. О нем я уже упоминал link
А лоадер от Одинокого Волка был 7,6 кб и при этом работал отлично (не путать с тем что утекло в паблик. Я являюсь владельцем офф версии. Одной из последних).

 

[karabas-barabas]

кстати не так давно проводились научные исследования по теме размера , где-то тут есть темка со стукачами - их gribodemon прогружал

с лоадером еще как-то можно согласиться наполовину

сокс - 10-50кб
ддос - 10-100кб (100 - если на борту есть все что можно себе представить)
стилер - 30-80 кб.
спамер - 30-100кб
подмена - 50-150 кб.
RC (remote controll) - 50-150кб.

все это стереотипы, как и с аутпостом , я под ними не вижу никакой почвы - размер spyeye последних версий около 400 кб .

 

[waahoo]

пишу на асме и не парюсь) 8-12 кб средний размер, лоадер, подмена, формграббер... все под одно)

 

[Ar3s]

karabas-barabas и waahoo все относительно. Я указывал нормальные пределы exe файла. Думаю никто из вас не делает софт 400 кб. Почему?

 

[WennY]

сокс - 10-50кб
ддос - 10-100кб (100 - если на борту есть все что можно себе представить)
стилер - 30-80 кб.
спамер - 30-100кб
подмена - 50-150 кб.
RC (remote controll) - 50-150кб.

Это с возможностью досжатия до таких размеров или родные?

 

[waahoo]

Думаю никто из вас не делает софт 400 кб. Почему?

такие размеры выходят из под delphi-станков etc. в моем случае, мне просто нравится иметь максимальный контроль над генерируемым кодом. оптимизация, быстродействие, легко почистить, можно выворачивать код "шкурой внутрь" до бесконечности... есть очень много плюсов и всего один минус - временные затраты на написание такого кода. также не хочется таскать за собой "лишние движения" в виде RTL. бывало становилось уныло на асме кодить, пробовал вернутся к истокам (delphi, c), но запустив IDE приходил к выводу что мозг окончательно деградировал в пользу асма: не хватало гибкости, не нравился дурной контроль на типом передаваемых данных...
было время, я вшивал ексе в пдф и тут маленькие бинари были нужны как воздух.
в качестве заключения:
маленький размер = оптимизация = гибкость = сила)

 

[accelerator]

Стало интересно какой размер получится минимального ладера на делфи (без RTL), написал простенький: загружает картинку с гугла на диск и завершается. Размер ехе вышел 912 байт.