|
|
|
антивирус
|
|||
|---|---|---|---|
|
#18+
я на протяжении 2 лет пользовался написанной мной программой. за это время успел распространить её(около 300-400 компов). совсем недавно антивирусы(в частности нод, каспер) начали распознавать прогу как вирус. с чего вдруг? 2 года молчали и неожиданное прозрение. как антивири определяют мою программу? пробовал менять имя разработчика, оптимизацию кода, название компании в project1->properties - не помогло. подскажете? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 18.06.2013, 20:48 |
|
||
|
антивирус
|
|||
|---|---|---|---|
|
#18+
У тебя там же хуки на клавиатуру, отсылка почты... так что антивирусники твою прогу считают банальным кейлоггером (а что, не так? ) Напиши в ТП антивирусников и пожалуйся... ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 18.06.2013, 22:23 |
|
||
|
антивирус
|
|||
|---|---|---|---|
|
#18+
AndreTM, раньше не считали. а сейчас сразу несколько антивирей одновременно. думал, вдруг моя прога попала в чёрный лист антвиирей по какому-то определённому кретерию. это, конешь, не имя проги. слишком просто. возможно, по именам каких-то переменных или вроде того... ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 18.06.2013, 22:40 |
|
||
|
антивирус
|
|||
|---|---|---|---|
|
#18+
Qlewer, Помогает 1) Защита (или наоборот не защита) каким-нибудь протектором типа AsProtect 2) Microsoft Code Signing, как я выяснил с одним из своих тестовых примеров - не всегда Пишешь-пишешь OK Еще пишешь - вирус Еще добавляешь код (размер exe-шника становится больше) - опять OK Антивирусы больные. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 18.06.2013, 22:51 |
|
||
|
антивирус
|
|||
|---|---|---|---|
|
#18+
Дмитрий77Еще добавляешь код (размер exe-шника становится больше) - опять OKразмер пробовал менять - не помогло. мб нужно в разы... Дмитрий772) Microsoft Code Signing, как я выяснил с одним из своих тестовых примеров - не всегда совсем забыл про него... надо будет потестить. Дмитрий77Антивирусы больные. согласен. хоть и грех жаловаться. моя прога - чистейший вирь, но раз 2 года антивири молчали, пусть и теперь не вякают ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 18.06.2013, 23:05 |
|
||
|
антивирус
|
|||
|---|---|---|---|
|
#18+
Дмитрий77, 1) Не поможет. Антивирусы, когда не понимают код, смотрят действия, а действия такие, что туши свет. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 18.06.2013, 23:29 |
|
||
|
антивирус
|
|||
|---|---|---|---|
|
#18+
Antonariy, А они его и не понимают. Кто-то когда-то защитил вирус AsProtect-ом -все, увидел подобный фрагмент кода - вирь. Кто-то когда-то добавил иконку 256х256 в ресурс, все -вирь. Все -бьем на 4 по 128х128 и мучаемся рисуя ее кусками через DrawIconEx Не вирь - повезло. Или перемешиваем код тем же Asprotect. Не вирь -повезло. Жила была программа, вдруг стала вирем. Пишем матерные письма в контору. Авира сразу извинится и скажет False Positive. От McCoffee ответа не дождешься. Но все равно от всего этого один гимор. Я тут последнее выкладывал ряд примеров немаленьких (код открыт). Так вот многие из них распознаются авирой как вири. Там нету клавиатурных трюков и нету ф-ций типа InternetConnect. Не буду ж я тесты еще и "лечить", других забот как несложно понять хватает. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 19.06.2013, 02:02 |
|
||
|
антивирус
|
|||
|---|---|---|---|
|
#18+
у меня дело обстоит иначе... моя программа состоит из 2 независимых ехешников. разные размеры, названия, способы и места установки, разные компоненты. обе части программы одновременно начали считаться вирусами. отсюда вывод: антивирусы как-то определяют, что это именно мои программы. но как?О_о по именам переменных, обращениям к определённому серверу? подскажите одна из двух программ, по сути, не является вирусом, даже не похожа. никаких автозагрузок, возни с файлами на пк, попыток слежения. но антивири как-то определяют, что это прога вирусная. по каким параметрам? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 19.06.2013, 13:32 |
|
||
|
антивирус
|
|||
|---|---|---|---|
|
#18+
По сигнатуре. Вирусный код, сигнатура (Signature) - система символов и однозначных правил их интерпретации, используемая для предоставления информации в виде данных. Представляет собой набор символов или последовательность байтов, которые, как предполагается, могут быть свойственны, а, следовательно, и обнаружены в каком-то определенном вирусе, в каждой его копии, и только в нем. Антивирусные сканеры используют сигнатуру для нахождения вирусов. Пoлиморфные вирусы не имеют сигнатуры. Человек взял и расковырял твои программы, понял, что они взаимодействуют, и занес код обеих в базу. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 19.06.2013, 13:42 |
|
||
|
антивирус
|
|||
|---|---|---|---|
|
#18+
Antonariyи занес код обеих в базу как поменять код? поменять имена всех переменных, место установки, имена и свойства окон...? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 19.06.2013, 13:49 |
|
||
|
антивирус
|
|||
|---|---|---|---|
|
#18+
Ни переменных ни тем более их имен в скомпилированном коде нет. Менять нужно алгоритм, именно его код заносится в базу. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 19.06.2013, 13:52 |
|
||
|
антивирус
|
|||
|---|---|---|---|
|
#18+
Antonariy, алгоритм? т.е.? программа должна выполнять определённую задачу. как можно поменять алгоритм её выполнения? AntonariyНи переменных ни тем более их имен в скомпилированном коде нет. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 19.06.2013, 17:18 |
|
||
|
антивирус
|
|||
|---|---|---|---|
|
#18+
QlewerAntonariy, алгоритм? т.е.? программа должна выполнять определённую задачу. как можно поменять алгоритм её выполнения? AntonariyНи переменных ни тем более их имен в скомпилированном коде нет. в код добавить операторы, которые не влияют на алгоритм, но изменят машинный код проги (сигнатуру) ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 19.06.2013, 17:37 |
|
||
|
антивирус
|
|||
|---|---|---|---|
|
#18+
HandKot, т.е. пустые циклы, бессмысленные создания папок на компе, лишние условия? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 19.06.2013, 18:58 |
|
||
|
антивирус
|
|||
|---|---|---|---|
|
#18+
Типа того. Только папки это лишнее. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 19.06.2013, 22:05 |
|
||
|
антивирус
|
|||
|---|---|---|---|
|
#18+
Дмитрий772) Microsoft Code Signing - не всегда не помогло. попробую насовать в код несколько десятков пустых условий if. сейчас каспер новейшая лицензионная версия не определяет мою программу как вирь, а нод насильно уничтожает даже везвредную часть программы. явно по этим "сигнатурам" ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 19.06.2013, 22:15 |
|
||
|
антивирус
|
|||
|---|---|---|---|
|
#18+
QlewerHandKot, т.е. пустые циклы, бессмысленные создания папок на компе, лишние условия? вот создание папок и будет, возможно, определятся как вирусная активность как и говорили пустые циклы, условия if, даже банальное i=i+1 можно было бы и простое debug.print, но кажись компилятор их выкидывает из кода ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 20.06.2013, 08:06 |
|
||
|
|
start [/forum/topic.php?fid=60&gotonew=1&tid=2156901]: |
0ms |
get settings: |
9ms |
get forum list: |
15ms |
check forum access: |
3ms |
check topic access: |
4ms |
track hit: |
52ms |
get topic data: |
12ms |
get first new msg: |
9ms |
get forum data: |
3ms |
get page messages: |
55ms |
get tp. blocked users: |
1ms |
| others: | 14ms |
| total: | 177ms |
| 0 / 0 |
