OberonCore

Библиотека  Wiki  Форум  BlackBox  Компоненты  Проекты
Текущее время: Четверг, 28 Март, 2024 12:20

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  [ Сообщений: 12 ] 
Автор Сообщение
 Заголовок сообщения: Антивирусы
СообщениеДобавлено: Четверг, 07 Апрель, 2011 14:30 

Зарегистрирован: Пятница, 13 Март, 2009 16:36
Сообщения: 987
Откуда: Казань
Создал практически пустой исполнимый файл вручную, как описано в http://citforum.ru/programming/windows/machine_code/3.shtml
В секции кода у этой программы всего 2 байта: EB FE (jmp -2). То есть программа ничего не делает, просто зацикливается, закрыть ее можно только через Ctrl+Alt+Del.

Проверил данную программу на virustotal.com.
Результаты можете увидеть на вложенных картинках. 22 антивируса из 42 определили его как троян или malware.
Сам файл во вложении в архиве, пароль: oberon


Вложения:
vir1.PNG
vir1.PNG [ 30.05 КБ | Просмотров: 9703 ]
vir2.PNG
vir2.PNG [ 35.5 КБ | Просмотров: 9703 ]
vir3.PNG
vir3.PNG [ 20.65 КБ | Просмотров: 9703 ]
file.rar [224 байт]
Скачиваний: 385
Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: Антивирусы
СообщениеДобавлено: Четверг, 07 Апрель, 2011 20:18 
Аватара пользователя

Зарегистрирован: Суббота, 06 Декабрь, 2008 22:59
Сообщения: 246
Откуда: Волгоградская обл.
В своё время у меня была ошибка в коде, вызывавшая зацикливание. Соотвественно, антивирусы квалифицировали это дело как вирус. Что то типа троян-женерик.


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: Антивирусы
СообщениеДобавлено: Четверг, 07 Апрель, 2011 22:34 

Зарегистрирован: Пятница, 13 Март, 2009 16:36
Сообщения: 987
Откуда: Казань
Дело даже не в зацикливании, это просто как пример одной из наиболее простых программы, которая хоть что-то делает. Если вместо этих двух байт указать другие команды, то антивирусы все равно будут определять его как троян. Похоже они находят какие-то сигнатуры в заголовке исполнимого файла.


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: Антивирусы
СообщениеДобавлено: Пятница, 08 Апрель, 2011 01:39 
Аватара пользователя

Зарегистрирован: Пятница, 25 Ноябрь, 2005 12:02
Сообщения: 8500
Откуда: Троицк, Москва
Можно пояснить, в чем, так сказать, пафос исследования?


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: Антивирусы
СообщениеДобавлено: Пятница, 08 Апрель, 2011 08:32 

Зарегистрирован: Пятница, 13 Март, 2009 16:36
Сообщения: 987
Откуда: Казань
Смысл сообщения в том, что много антивирусов дают ложноположительный результат о том, что есть троян, хотя его нет. Трудно себе представить чтобы вся функциональность трояна была реализована в двух байтах.
Здесь, конечно, ситуация усугубляется тем, что исполнимый файл был создан нестандартно. Но даже когда использовал стандартные средства, то у меня несколько раз было, что антивирусы просто удаляли скомпилированный файл, якобы там вирус или троян.
Все это показывает, что многие антивирусы излишне параноидальны, то есть находят что-то когда там ничего нет.


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: Антивирусы
СообщениеДобавлено: Пятница, 08 Апрель, 2011 08:59 
Аватара пользователя

Зарегистрирован: Пятница, 25 Ноябрь, 2005 12:02
Сообщения: 8500
Откуда: Троицк, Москва
Rifat писал(а):
многие антивирусы излишне параноидальны, то есть находят что-то когда там ничего нет.
А к ББ или XDS это относится? Раз уж речь зашла.


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: Антивирусы
СообщениеДобавлено: Пятница, 08 Апрель, 2011 09:59 

Зарегистрирован: Пятница, 13 Март, 2009 16:36
Сообщения: 987
Откуда: Казань
Когда я компилировал консольные программы в ББ, используя при этом WinApi функции для работы с консолью, то частенько антивирус Avira удалял мои файлы, якобы там троян.


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: Антивирусы
СообщениеДобавлено: Пятница, 08 Апрель, 2011 10:05 

Зарегистрирован: Пятница, 13 Март, 2009 16:36
Сообщения: 987
Откуда: Казань
Вот ссылка на обсуждение, которое было больше года назад: http://forum.oberoncore.ru/viewtopic.php?f=27&t=1791&hilit=%D0%B0%D0%BD%D1%82%D0%B8%D0%B2%D0%B8%D1%80%D1%83%D1%81

Теперь я уже думаю, что дело просто в антивирусе, который слишком подозрительный, что мешает разработчикам программ и пугает пользователей: http://xn--c1adicwtjd.xn--p1ai/forum/virus-v-versii-122


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: Антивирусы
СообщениеДобавлено: Пятница, 08 Апрель, 2011 13:19 
Аватара пользователя

Зарегистрирован: Пятница, 25 Ноябрь, 2005 12:02
Сообщения: 8500
Откуда: Троицк, Москва
Rifat писал(а):
Теперь я уже думаю, что дело просто в антивирусе, который слишком подозрительный
В антивирусах, наверное, есть какие-то списки исключений для подобных случаев?


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: Антивирусы
СообщениеДобавлено: Пятница, 08 Апрель, 2011 15:46 
Аватара пользователя

Зарегистрирован: Суббота, 06 Декабрь, 2008 22:59
Сообщения: 246
Откуда: Волгоградская обл.
Rifat писал(а):
Теперь я уже думаю, что дело просто в антивирусе, который слишком подозрительный, что мешает разработчикам программ и пугает пользователей: http://xn--c1adicwtjd.xn--p1ai/forum/virus-v-versii-122


В этос обсуждении суть не в самой программе. Скорее всего, обсуждаемый там временный файл создаётся при инсталляции с помощью InnoSetup.
Содержимое этого файла, по всей видимости, связано с внесением изменений в реестр, либо с заменой системных файлов во время перезхагрузки.


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: Антивирусы
СообщениеДобавлено: Пятница, 08 Апрель, 2011 16:51 

Зарегистрирован: Пятница, 13 Март, 2009 16:36
Сообщения: 987
Откуда: Казань
Есть много других случаев, когда Avira ругается. Например, с компилятором Oberon-07M идут два примера Sample1 и Sample2. Sample1.exe содержит код для вывода "Hello, World!" в консоль, на него Avira ругается.
Sample2.exe содержит код для вывода в консоль и работы с динамической памятью, а на него Avira не ругается.


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: Антивирусы
СообщениеДобавлено: Пятница, 08 Апрель, 2011 18:02 
Аватара пользователя

Зарегистрирован: Суббота, 27 Февраль, 2010 23:34
Сообщения: 746
Rifat писал(а):
Смысл сообщения в том, что много антивирусов дают ложноположительный результат о том, что есть троян, хотя его нет. Трудно себе представить чтобы вся функциональность трояна была реализована в двух байтах.
Здесь, конечно, ситуация усугубляется тем, что исполнимый файл был создан нестандартно. Но даже когда использовал стандартные средства, то у меня несколько раз было, что антивирусы просто удаляли скомпилированный файл, якобы там вирус или троян.
Все это показывает, что многие антивирусы излишне параноидальны, то есть находят что-то когда там ничего нет.
В этом-то и суть... что "ничего нет". Как можно отнестись к программе, которая фактически состоит только из PE-заголовка?.. Правильно, как к заготовке для последующей автоматической генерации/модификации исполняемого файла. Кто занимается такой "работой"? Еще раз правильно... :) И ничего паранодоидального в таком подозрении нет, IMHO.


Вернуться к началу
 Профиль  
 
Показать сообщения за:  Поле сортировки  
Начать новую тему Ответить на тему  [ Сообщений: 12 ] 

Часовой пояс: UTC + 3 часа


Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 2


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Вся информация, размещаемая участниками на конференции (тексты сообщений, вложения и пр.) © 2005-2024, участники конференции «OberonCore», если специально не оговорено иное.
Администрация не несет ответственности за мнения, стиль и достоверность высказываний участников, равно как и за безопасность материалов, предоставляемых участниками во вложениях.
Без разрешения участников и ссылки на конференцию «OberonCore» любое воспроизведение и/или копирование высказываний полностью и/или по частям запрещено.
Powered by phpBB® Forum Software © phpBB Group
Русская поддержка phpBB