offline checker

[Quake3]

Нашел программу Offline Checker (от KraZz ), подробнее тут http://demonteam.narod.ru/oc/oc.html
Решил ее потестить на том зверье, что было на компе. Результаты немного удивили:

1. Smoke ddos bot без крипта:
Fast: Packed
Warning: Rich data in PE header BAD !

2. Smoke ddos bot, крипт VB.
Fast: Not Packed
Info: Rich data in PE header is OK !

Интересно, почему так? Почему говнокрипт на вб не то что портит - а наоборот, убирает недостатки оригинального РЕ фаела? Я плохо знаю РЕ формат, но предполагаю, что дело в том, что оригинальный бот сильно обфусцирован чем-то самопальным (автор ставит хорошую защиту от реверса), а бейсик крипт просто пакует бота в свой бинарь (который компилятор создает по всем правилам). Или в чем дело может быть?.

Еще немного..
3. G-bot (1ая линейка) и 9 оптима (даркнесс) дают одинаковый результат
Fast: Not Packed
Warning: Rich data in PE header BAD !
Мб сам код кривой.

Как написано в FAQ, Warning - это в общем-то не ошибка, а ерунда, но как вижу, практически все боты имеют такую проблему.

 

[Quake3]

Кстати, на оптиме чекер дает
Fatal error: You must uncheck "PEChecker by asd"
Видать автор добавил какую-то антиэмуляцию или хз.

 

[KraZz]

Quake3 пишет:
Кстати, на оптиме чекер дает
Fatal error: You must uncheck "PEChecker by asd"

Это просто нужно выключить бажный движок PEChecker`а который написал asd (мембер васма)
Там исходники должны быть в архиве в каких-то начальных версиях этого PEChecker`а
Я его код просто добавил, чтобы было и в какой-то из тем об этом подробно рассказывал, да и в FAQ`е есть немного об этом

Я добавил часть кода из исходников PEChecker в тулузу, чтобы включить данную опцию просто установите галочку на PEChecker by asd
Но я сразу скажу, верить его детекту не стоит, это просто в качестве экспоната добавлено

А вообще:

Quake3 пишет:
Кстати, на оптиме чекер дает
Fatal error: You must uncheck "PEChecker by asd"
Видать автор добавил какую-то антиэмуляцию или хз.

Из FAQ`а

Fatal error: You must uncheck "PEChecker by asd"
Если показывает Fatal error – это сработало где-то исключение, данное сообщение относится только к внутренним ошибкам Offline Checker.
Никакого отношения к качеству криптора данные сообщения НЕ ИМЕЮТ!

Просто внимательнее надо читать описание!

Quake3 пишет:
а бейсик крипт просто "пакует" бота в свой бинарь (который компилятор создает по всем правилам).

Ну какбЭ примитивно так оно и есть.

Quake3 пишет:
Как написано в FAQ, Warning - это в общем-то не ошибка, а ерунда, но как вижу, практически все боты имеют такую проблему.

Если чекер не показывает Warning`ов, то это говорит о том, что криптор имеет годный формат для вирустотала
Если есть варнинги, то на вирустотале такой крипт зафакают такие антивирусы как авира (которые факать начинают при малейшем отклонении от стандартов)
Поэтому тебе и писал Apocalypse что нужно криптовать лоадера, если есть недостатки у ЯП на котором пишется этот лоадер
По-поводу Warning: Rich data in PE header BAD !
Я уже писал об этом в одной из моих... http://xss.pro/index.php?topic=20402

AVG 9.0.0.730 2010.02.20 Injector.EZ
Тоже удаляется из списка очень просто, путем добавления в сэмпл Rich сигнатуры(тут речь идет именно о СТАНДАРТЕ, исключительные ситуации естественно НЕ учитываются, так как инфа предназначена в основном для начинающих)
Линк уже не помню, короче исходный код RichFuke.asm в архиве найдете(я сам из него ChangeRICH юзаю)

Там я также описывал, как бороться с детектами на вирустотал
Кстати потом какбЭ через год был сделан рерайт http://wasm.ru/article.php?article=sdf "хорошо" завуалированный, но доступно расписанный для юных падованов %)))) (я знаю сейчас флудить начнут кто у кого, но мне как-то пох...)
Почитай там про Rich сигнатуры тоже есть немного, может понятнее станет...