MuOnline x Antivirus - Como remover falso-positivos nos antivírus

[Alankoba]

A premissa é boa e ela realmente te faz acreditar que pode trazer algum resultado, mas a verdade é que isso não vai adiantar de nada, pode até piorar. O próprio executável main.exe de todos os servidores privados tem o código crackeado com base no original WebZen, passei um bom tempo analisando e tentando resolver este problema do false-positive com engenharia reversa, também tentei algumas das dicas citadas, um executável com o código extremamente alterado como o main.exe nunca vai ser aceito pelos verificadores, precisa-se de um código limpo sem realocações e isso todos sabemos que o Main MuOnline não tem.

As chamadas para os APIs GetAsyncKeyState, WSAStartUp, Rec, Socket, Shell e algumas outras que andei analisando, são muito antigas e suspeitas. Para confirmar basta dar uma rápida olhada com OllyDbg + Scylla que vc vai notar muitos APIs inválidos ou suspeitas, ao fixar alguns o arquivo fica até inutilizado.

[Somente membros podem ver os links. ]
[Somente membros podem ver os links. ]

Uma das coisas que eu fiz e teve resultado, foi o uso das ferramentas OllyDbg + Scylla, como funciona?

Primeiro, vc abre o executável com o Debbuger OllyDbg, aguarde a leitura do código do executável completamente.
OBS: Use um Main.exe sem nenhuma DLL externa hookada e que o EntryPoint original não tenha sido alterado.

Segundo, o OllyDbg vai te dar o EntryPoint original e seu Main.exe vai estar aberto em segundo plano, a próxima etapa é vc executar o Scylla em modo Administrador, com isso vc terá anexo os processos em execução na sua máquina, e com alguns offsets vc pode pesquisar e importar OEPs inteiros para reconstruir ou fixar APIs.
OBS: Para quem não sabe o Scylla é uma ferramenta de análise e reconstrução de arquivos com suporte a 64x, 86x e unicode.

Isso é só uma base para quem quiser procurar saber sobre o assunto, vale apena, pq se vc quiser ser um bom administrador vai precisar dessas ferramentas.

Isso foi oq realmente deu resultado nos meus arquivos, mas é um processo delicado e exige tempo e dedicação, eu cheguei a ter apenas 2 false-positivos em um dos meus Mains em 2017. Quem quiser limpar seu Main, na minha opinião, tem que procurar essa opção, enviar formulários não vai resolver.

Comprando o certificado de uma autoridade certificadora resolve o problema instantaneamente, sem nenhum outro segredo.

Com isso é possível inclusive criar aplicações maliciosas que os AVs fazem vista grossa, claro que com o risco de perder toda a credibilidade do certificado todo.

Praticamente todas as aplicações que usamos no Windows fazem chamadas a APIS antigas ou mesmo não documentadas, nem por isso são maliciosas.

O Chrome por exemplo, veja a IAT e me explica como um antivírus vai analisar aquilo e não dizer que é algo suspeito... O segredo está na assinatura digital.

No passado o certificado do CCleaner vazou e hackers criaram vírus em cima de uma assinatura digital com boa reputação.




Enviado do meu iPhone usando Tapatalk

[romariols]

Para se obter certificado de algum arquivo, é preciso ter a fonte dele, pelo menos quando eu tentei fazer isso, este foi um dos requisitos, não sei se há alguma entidade que faça isso sem a fonte, se o fizer, é muita irresponsabilidade. Para os Admins de Mu Online, esta questão da verificação dos APIs e realocações ao meu ver é a melhor saída.

[Alankoba]

Para se obter certificado de algum arquivo, é preciso ter a fonte dele, pelo menos quando eu tentei fazer isso, este foi um dos requisitos, não sei se há alguma entidade que faça isso sem a fonte, se o fizer, é muita irresponsabilidade. Para os Admins de Mu Online, esta questão da verificação dos APIs e realocações ao meu ver é a melhor saída.

Pra assinar executáveis basta um certificado com carimbo de data e hora e a auroridade certificadora confiável.

Tá certo que não é barato, mas resolve definitivamente o problema. A empresa não solicita a fonte do arquivo mas sim os dados que comprovem a existencia do fornecedor do executável, portanto não significa que um executável assinado digitalmente será livre de falso-posirivo, mas sim que ele não foi adulterado por alguém (que pode ter incluído código malicioso com engenharia reversa por exemplo).

Faço a assinatura digital com certificado EV em vários arquivos e nunca mais tive problema.

No caso dos arquivos que eu uso até mesmo um certificado auto assinado é suficiente para resolver a treta com os AVs.


Do mais você tem razão, se for possível 'limpar' o main sem nenhuma assinatura digital ou sem nenhum report melhor ainda.


Em breve farei uma adição neste tutorial explicando outros métodos alterando poucas coisas no main, já fiz vários testes para encontrar uma alternativa ao getkeyassyncstate e encontrei bons resultados sem atrapalhar o tempo de resposta das teclas no jogo.

Um bônus que podemos fazer seria criar uma lista com vários arquivos main.exe limpos para o pessoal usar Da maioria das versões).


Enviado do meu iPhone usando Tapatalk

[romariols]

Confesso que não sou bem informado sobre os meios de se obter um certificado desses, só tentei uma vez, na tentativa de resolver o problema de false-positive, como teve esses requisitos sobre a fonte, eu achei inviável. Você já tentou isso com algum Main?

Sinceramente eu acho meio difícil alguém deixar um 100% limpo, sem afetar o funcionamento dele, o meu que eu consegui começou apresentar alguns BUGs principalmente em Windows 7, a tela ficava preta, falha em sockets, a digitação as vezes travava ou não saia nada, uma vez os mapas ficou tudo branco, e na maioria dos Windows 10 não funcionava de forma alguma, tava me dando muito trabalho e eu desisti, quando tiver tempo vou me dedicar a isso, um Main limpo faz muita diferença em um servidor.

[denilsomitamar]

bom dia, blz?
testei e deu certinho, obrigado !!!!

[Alankoba]

bom dia, blz?
testei e deu certinho, obrigado !!!!

Enviado do meu iPhone usando Tapatalk