OberonCore
https://forum.oberoncore.ru/

Антивирусы
https://forum.oberoncore.ru/viewtopic.php?f=27&t=3380
Страница 1 из 1

Автор:  Rifat [ Четверг, 07 Апрель, 2011 14:30 ]
Заголовок сообщения:  Антивирусы

Создал практически пустой исполнимый файл вручную, как описано в http://citforum.ru/programming/windows/machine_code/3.shtml
В секции кода у этой программы всего 2 байта: EB FE (jmp -2). То есть программа ничего не делает, просто зацикливается, закрыть ее можно только через Ctrl+Alt+Del.

Проверил данную программу на virustotal.com.
Результаты можете увидеть на вложенных картинках. 22 антивируса из 42 определили его как троян или malware.
Сам файл во вложении в архиве, пароль: oberon

Вложения:
vir1.PNG
vir1.PNG [ 30.05 КБ | Просмотров: 9710 ]
vir2.PNG
vir2.PNG [ 35.5 КБ | Просмотров: 9710 ]
vir3.PNG
vir3.PNG [ 20.65 КБ | Просмотров: 9710 ]
file.rar [224 байт]
Скачиваний: 385

Автор:  Alexanbar [ Четверг, 07 Апрель, 2011 20:18 ]
Заголовок сообщения:  Re: Антивирусы

В своё время у меня была ошибка в коде, вызывавшая зацикливание. Соотвественно, антивирусы квалифицировали это дело как вирус. Что то типа троян-женерик.

Автор:  Rifat [ Четверг, 07 Апрель, 2011 22:34 ]
Заголовок сообщения:  Re: Антивирусы

Дело даже не в зацикливании, это просто как пример одной из наиболее простых программы, которая хоть что-то делает. Если вместо этих двух байт указать другие команды, то антивирусы все равно будут определять его как троян. Похоже они находят какие-то сигнатуры в заголовке исполнимого файла.

Автор:  Info21 [ Пятница, 08 Апрель, 2011 01:39 ]
Заголовок сообщения:  Re: Антивирусы

Можно пояснить, в чем, так сказать, пафос исследования?

Автор:  Rifat [ Пятница, 08 Апрель, 2011 08:32 ]
Заголовок сообщения:  Re: Антивирусы

Смысл сообщения в том, что много антивирусов дают ложноположительный результат о том, что есть троян, хотя его нет. Трудно себе представить чтобы вся функциональность трояна была реализована в двух байтах.
Здесь, конечно, ситуация усугубляется тем, что исполнимый файл был создан нестандартно. Но даже когда использовал стандартные средства, то у меня несколько раз было, что антивирусы просто удаляли скомпилированный файл, якобы там вирус или троян.
Все это показывает, что многие антивирусы излишне параноидальны, то есть находят что-то когда там ничего нет.

Автор:  Info21 [ Пятница, 08 Апрель, 2011 08:59 ]
Заголовок сообщения:  Re: Антивирусы

Rifat писал(а):
многие антивирусы излишне параноидальны, то есть находят что-то когда там ничего нет.
А к ББ или XDS это относится? Раз уж речь зашла.

Автор:  Rifat [ Пятница, 08 Апрель, 2011 09:59 ]
Заголовок сообщения:  Re: Антивирусы

Когда я компилировал консольные программы в ББ, используя при этом WinApi функции для работы с консолью, то частенько антивирус Avira удалял мои файлы, якобы там троян.

Автор:  Rifat [ Пятница, 08 Апрель, 2011 10:05 ]
Заголовок сообщения:  Re: Антивирусы

Вот ссылка на обсуждение, которое было больше года назад: http://forum.oberoncore.ru/viewtopic.php?f=27&t=1791&hilit=%D0%B0%D0%BD%D1%82%D0%B8%D0%B2%D0%B8%D1%80%D1%83%D1%81

Теперь я уже думаю, что дело просто в антивирусе, который слишком подозрительный, что мешает разработчикам программ и пугает пользователей: http://xn--c1adicwtjd.xn--p1ai/forum/virus-v-versii-122

Автор:  Info21 [ Пятница, 08 Апрель, 2011 13:19 ]
Заголовок сообщения:  Re: Антивирусы

Rifat писал(а):
Теперь я уже думаю, что дело просто в антивирусе, который слишком подозрительный
В антивирусах, наверное, есть какие-то списки исключений для подобных случаев?

Автор:  Alexanbar [ Пятница, 08 Апрель, 2011 15:46 ]
Заголовок сообщения:  Re: Антивирусы

Rifat писал(а):
Теперь я уже думаю, что дело просто в антивирусе, который слишком подозрительный, что мешает разработчикам программ и пугает пользователей: http://xn--c1adicwtjd.xn--p1ai/forum/virus-v-versii-122


В этос обсуждении суть не в самой программе. Скорее всего, обсуждаемый там временный файл создаётся при инсталляции с помощью InnoSetup.
Содержимое этого файла, по всей видимости, связано с внесением изменений в реестр, либо с заменой системных файлов во время перезхагрузки.

Автор:  Rifat [ Пятница, 08 Апрель, 2011 16:51 ]
Заголовок сообщения:  Re: Антивирусы

Есть много других случаев, когда Avira ругается. Например, с компилятором Oberon-07M идут два примера Sample1 и Sample2. Sample1.exe содержит код для вывода "Hello, World!" в консоль, на него Avira ругается.
Sample2.exe содержит код для вывода в консоль и работы с динамической памятью, а на него Avira не ругается.

Автор:  alexus [ Пятница, 08 Апрель, 2011 18:02 ]
Заголовок сообщения:  Re: Антивирусы

Rifat писал(а):
Смысл сообщения в том, что много антивирусов дают ложноположительный результат о том, что есть троян, хотя его нет. Трудно себе представить чтобы вся функциональность трояна была реализована в двух байтах.
Здесь, конечно, ситуация усугубляется тем, что исполнимый файл был создан нестандартно. Но даже когда использовал стандартные средства, то у меня несколько раз было, что антивирусы просто удаляли скомпилированный файл, якобы там вирус или троян.
Все это показывает, что многие антивирусы излишне параноидальны, то есть находят что-то когда там ничего нет.
В этом-то и суть... что "ничего нет". Как можно отнестись к программе, которая фактически состоит только из PE-заголовка?.. Правильно, как к заготовке для последующей автоматической генерации/модификации исполняемого файла. Кто занимается такой "работой"? Еще раз правильно... :) И ничего паранодоидального в таком подозрении нет, IMHO.

Страница 1 из 1 Часовой пояс: UTC + 3 часа
Powered by phpBB® Forum Software © phpBB Group
https://www.phpbb.com/