purebasic.info

PureBasic forum
Текущее время: Пн ноя 19, 2018 8:55 pm

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  [ Сообщений: 43 ]  На страницу Пред.  1, 2, 3  След.
Автор Сообщение
 Заголовок сообщения: Re: MeowwFish
СообщениеДобавлено: Пн апр 06, 2015 11:29 am 
Не в сети
профессор

Зарегистрирован: Пт фев 20, 2009 12:57 pm
Сообщений: 1712
Откуда: Алматы
Благодарил (а): 16 раз.
Поблагодарили: 46 раз.
Пункты репутации: 5
не путаю. этот момент обсуждался давно и в другой теме про ложные срабатывания. по поводу примера - там в оригинале нехватало Break который потом добавили и что-то мы там еще правили не помню... а во вторых "Друпий" открыт для предложений и модификации кода на буржуйском форуме :) если есть лучше и красивше и быстрее - можно предложить ему кусочек кода и в новой версии эта фича обязательно появится. правда тема с друпией уже сто лет не обсуждалась... видимо он забросил это дело.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: MeowwFish
СообщениеДобавлено: Пн апр 06, 2015 11:31 am 
Не в сети
профессор

Зарегистрирован: Пт фев 20, 2009 12:57 pm
Сообщений: 1712
Откуда: Алматы
Благодарил (а): 16 раз.
Поблагодарили: 46 раз.
Пункты репутации: 5
по поводу вирустотала - на момент создания может и будут залупаться 2-3 антивируса, но логи вирустотала видимо изучаются антивирусными компаниями. если в первый день сработали эти самые 2-3 штуки, то через неделю, стадо попугаев, подхватит эту тему и уже будут верещать штук 5-10.
Изображение


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: MeowwFish
СообщениеДобавлено: Пн апр 06, 2015 12:12 pm 
Не в сети
PureBasic Coder
Аватар пользователя

Зарегистрирован: Чт ноя 10, 2011 10:50 am
Сообщений: 4049
Откуда: Ростов-на-Дону
Благодарил (а): 70 раз.
Поблагодарили: 81 раз.
Пункты репутации: 24
Цитата:
За примером далеко ходить не надо
А ещё в этой процедуре
Цитата:
Protected retval=#False
...
ret=Process\th32ProcessID
...
ProcedureReturn ret

_________________
Пурик - лучший язык программирования


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: MeowwFish
СообщениеДобавлено: Пн апр 06, 2015 2:17 pm 
Не в сети
профессор

Зарегистрирован: Ср янв 14, 2009 4:12 pm
Сообщений: 2002
Благодарил (а): 12 раз.
Поблагодарили: 101 раз.
Пункты репутации: 43
SereZa писал(а):
по поводу вирустотала - на момент создания может и будут залупаться 2-3 антивируса, но логи вирустотала видимо изучаются антивирусными компаниями. если в первый день сработали эти самые 2-3 штуки, то через неделю, стадо попугаев, подхватит эту тему и уже будут верещать штук 5-10.

Я не знаю какие коды пишите вы, что на них верещит вирустотал, но вот у меня есть одна утилита (причем крякерской направленности) я ее пилю с далекого 2009 года и ею пользуется оочень много народа. Так вот, ни одной жалобы на вирусы за 6 лет небыло 8)
Причем первые версии были с использованием Droopy, PBOSL и пр. Потом я эти библы выкинул нафик. Так же и компилятор использовал от 4,3 до 5,3
Есть еще несколько прог, которые юзаю сам и мои знакомые в конторах с очень хорошей антивирусной защитой. Претензий пока никто не предьявлял :D

_________________
Всё должно быть просто, настолько просто, насколько возможно, но не проще. (c) Альберт Эйнштейн
Изображение


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: MeowwFish
СообщениеДобавлено: Пн апр 06, 2015 8:44 pm 
Не в сети
профессор

Зарегистрирован: Вс июн 10, 2012 8:18 am
Сообщений: 1294
Благодарил (а): 60 раз.
Поблагодарили: 49 раз.
Пункты репутации: 14
Meoww писал(а):
При этом, аналогичный код, написанный на плюсах, чтоб их вместе с создателем)) (Borland), с антивирусами не имел вообще никаких конфликтов

Код может аналогичный, но компиляторы разные. Компиль borland'а кучу мусора добавляет между вызовами функций. Небольшой макрос генерирующий рандомное количество нопов в большинстве случаев исправит проблему с АВ.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: MeowwFish
СообщениеДобавлено: Пн апр 06, 2015 9:46 pm 
Не в сети
док
Аватар пользователя

Зарегистрирован: Пн май 05, 2014 5:50 pm
Сообщений: 84
Откуда: Украина, Запорожье
Благодарил (а): 29 раз.
Поблагодарили: 5 раз.
Пункты репутации: 9
))) я не НАСТОЛЬКО програмер, чтобы рассуждать о таких вещах - год назад я начал учиться))) спектрумовский васик и ассемблер не в счет - слишком давно это было, так что знаний у меня маловато


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: MeowwFish
СообщениеДобавлено: Вт апр 07, 2015 1:12 pm 
Не в сети
профессор

Зарегистрирован: Чт сен 22, 2011 6:21 pm
Сообщений: 275
Благодарил (а): 36 раз.
Поблагодарили: 28 раз.
Пункты репутации: 0
MrF писал(а):
...Небольшой макрос генерирующий рандомное количество нопов в большинстве случаев исправит проблему с АВ.
Это современные эвристические анализаторы вы собрались нагнуть нопами? :shock:
А не проще писать так, что-бы код был похож на полезную бифидобактерию, а не вирус?

1) Минимизация скрытых, несанкционированных действий.
Сразу после запуска рисуем наш интерфейс, и только после появления окна на экране - прочие инициализации.
(все что до отрисовки фейса - скрытые действия)
2) "Опасные" (с точки зрения АВ) операции только по "согласию пользователя".
сеть, файлы(кроме конфигов), реестр - все эти операции вешаем на кнопки (на худой конец на таймер окна) - "пользователь согласен :D "
3) Минимизация количества "опасных" функций.
например нам нужно RunProgram(), а это "опасная функция" (кто-то будет спорить что нет?)
если нам оно надо 1 раз, тогда - еще терпимо, а если несколько? А пурик раскидает соответствующую АПИ по программе, столько раз, сколько вызываем (именно так и есть в вирусах написанных на асме)
делаем обертку:
Procedure MyRunProgram(PrgName$,Param$,Dir$,Flag)
ProcedureReturn RunProgram(PrgName$,Param$,Dir$,Flag)
EndProcedure
и вызываем ее (и тогда у нас в коде только 1 опасный вызов). Аналогично со всеми опасными функциями.

зы. не по наслышке, сам когда-то рвал на попе волосы и клял авиров последним матом, а сейчас все прекрасно :)
зызы. возможно что-то еще упустил - добавляйте.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: MeowwFish
СообщениеДобавлено: Вт апр 07, 2015 3:59 pm 
Не в сети
профессор

Зарегистрирован: Пт фев 20, 2009 12:57 pm
Сообщений: 1712
Откуда: Алматы
Благодарил (а): 16 раз.
Поблагодарили: 46 раз.
Пункты репутации: 5
интересные замечания :) но как быть если надо поколдовать над эксплорером? в моем случае была правка реестра, добавление в доверенные, разрешение всплывающих окон и еще сто писят настроек для эксплорера. потом редактирование файла хостс - добавление туда записей со всяких счетчиков посещений. потом запуск от имени администратора некоторой программы, которая запускается в скрытном окне и после создает новое - то есть джава, где основное окошко - черное консольное, а второе окошко непосредственно программа. нафига пользователю смотреть на это черное бесполезное консольное окно? надо запускать скрытно. консольное не видать и показывается только то - непосредственно рабочее окошко. ну и главное - проверка обновлений на сайте и их скачивание и установка.

тут хотелось бы поставить плюсик компании... ээ... как же он... симантек? забыл уже... там где заранее присылаешь им инсталлятор до релиза и они вносят в белый список. но такие белые списки есть не у всех компаний, хотя идея была бы шикарная. создание некоего специального антивирусного центра, с белым списком софта, с которым бы сотрудничали все, более менее адекватные, антивирусные компании.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: MeowwFish
СообщениеДобавлено: Вт апр 07, 2015 4:29 pm 
Не в сети
профессор

Зарегистрирован: Чт сен 22, 2011 6:21 pm
Сообщений: 275
Благодарил (а): 36 раз.
Поблагодарили: 28 раз.
Пункты репутации: 0
SereZa писал(а):
... в моем случае ...
Ну ни фига-се у вас случай, я бы такое в "белый список" не добавил :lol:
а вообще эвристики трассируют код на определенную глубину, а дальше хоть трава не расти (пустые циклы не помогут, они их перешагивають). Живут же как то, всякие говнозащитники (Protorian, GuardMailRu, итд), хотя возможно там цифровая подпись сильно помогает. (для частника не подъемно)


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: MeowwFish
СообщениеДобавлено: Вт апр 07, 2015 5:01 pm 
Не в сети
профессор

Зарегистрирован: Вс июн 10, 2012 8:18 am
Сообщений: 1294
Благодарил (а): 60 раз.
Поблагодарили: 49 раз.
Пункты репутации: 14
Kuzmat писал(а):
Это современные эвристические анализаторы вы собрались нагнуть нопами?

Ну понятно же, что сигнатурные анализаторы. От эвристиков и эмулей есть другие механизмы, но тут они не нужны. Не реальный же вирь прячем от ав.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: MeowwFish
СообщениеДобавлено: Вт апр 07, 2015 5:15 pm 
Не в сети
профессор

Зарегистрирован: Чт сен 22, 2011 6:21 pm
Сообщений: 275
Благодарил (а): 36 раз.
Поблагодарили: 28 раз.
Пункты репутации: 0
MrF писал(а):
Ну понятно же, что сигнатурные анализаторы. От эвристиков и эмулей есть другие механизмы, но тут они не нужны. Не реальный же вирь прячем от ав.

Как раз нопами мы изменим сигнатуру (уникальную последовательность) что нам как раз и по барабану (нашей сигнатуры нет в базе, у нас-же не вирус), а вот бракует нашу программу как раз эвристик (которому на последовательность плевать, он отслеживает общую потенциальную опасность кода)

зы. правда есть у всех авиров одно лядское свойство, вместо того что бы честно сказать что программа потенциально опасна (для запуска веслоухим пользователям), они все радостно рапортуют, что обнаружен типа вирус "такой-то такойтович" (ничегонеговорящее название), и сьедают прогу (несправедливо млин) :?


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: MeowwFish
СообщениеДобавлено: Вт апр 07, 2015 6:07 pm 
Не в сети
профессор

Зарегистрирован: Вс июн 10, 2012 8:18 am
Сообщений: 1294
Благодарил (а): 60 раз.
Поблагодарили: 49 раз.
Пункты репутации: 14
Kuzmat писал(а):
Как раз нопами мы изменим сигнатуру (уникальную последовательность) что нам как раз и по барабану

Таки по барабану?
Код:
1
2
URLDownloadToFile_(0, "", "", 0, 0)
 ShellExecute_(0, "open", "", "", "", #SW_HIDE)


https://www.virustotal.com/ru/file/6c8e ... 428418267/
10 аллертов это уже не 3.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: MeowwFish
СообщениеДобавлено: Вт апр 07, 2015 6:23 pm 
Не в сети
профессор

Зарегистрирован: Чт сен 22, 2011 6:21 pm
Сообщений: 275
Благодарил (а): 36 раз.
Поблагодарили: 28 раз.
Пункты репутации: 0
"DeepScan:Generic.Malware.dld!!.1EC42D24"
Generic - признак срабатывания эвристика (а чего удивительного если "#SW_HIDE" :) )
только думаю нопы тут никак не помогут, вы-же сознательно взяли "опасные" функции - результат вполне предсказуем, или что вы пытаетесь донести?

зы. возможно вы (или я) путаем термины (сигнатурный анализатор vs эвристический анализатор), давайте не придираться к словам, ваш код сложно назвать обычным (грузим и сразу запускаем) даже странно что так мало ругнулось, возможно тут уже и сигнатура сработала. :lol:


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: MeowwFish
СообщениеДобавлено: Вт апр 07, 2015 8:10 pm 
Не в сети
профессор

Зарегистрирован: Вс июн 10, 2012 8:18 am
Сообщений: 1294
Благодарил (а): 60 раз.
Поблагодарили: 49 раз.
Пункты репутации: 14
Kuzmat писал(а):
или что вы пытаетесь донести?

Что сигнатурный анализ не менее значим, чем эвристик.

Более продвинутые ав видят, что ничего не качается и не запускается. А эти находят две подряд опасные функции.

Но тут сложно судить о каком-то одном механизме ав, когда они все в куче работают.
Код:
1
2
3
4
file.s = "c:\logo.exe"
url.s = "http://purebasic.info/zzz.exe"
URLDownloadToFile_(0, url, file, 0, 0)
ShellExecute_(0, "open", file, "", "", #SW_HIDE)


https://www.virustotal.com/ru/file/0375 ... 428425983/
Тут уже и каспер подтянулся. Видимо эмуль сработал.

адд:
Kuzmat писал(а):
давайте не придираться к словам

Я не против.
И тут можно не нопами разбавить, а процедурами-пустышками, в которых код есть, но толком ничего не делает.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: MeowwFish
СообщениеДобавлено: Вт апр 07, 2015 8:16 pm 
Не в сети
профессор

Зарегистрирован: Чт сен 22, 2011 6:21 pm
Сообщений: 275
Благодарил (а): 36 раз.
Поблагодарили: 28 раз.
Пункты репутации: 0
MrF писал(а):
Но тут сложно судить о каком-то одном механизме ав, когда они все в куче работают.

Таки да, убедили :D

MrF писал(а):
И тут можно не нопами разбавить, а процедурами-пустышками, в которых код есть, но толком ничего не делает.

Пробовал в свое время - безрезультатно (видимо трассировка/эмулятор такие вещи проскакивает безболезненно)

зы. припомнил показательный случай, писал автообновление, допустил ошибку в параметрах (код был не рабочий, хотя и компилился нормально) - каспер молчит, я радуюсь :lol: , потом проверяю, не работает, исправляю ошибку - код заработал, каспер заверещал :?

зызы. но кстати при выполнении приведенных мной выше рекомендаций, все то-же самое сейчас работает, и ни 1 авирь с вирустотала не пикает.


Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  [ Сообщений: 43 ]  На страницу Пред.  1, 2, 3  След.

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 3


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group (блог о phpBB)
Сборка создана CMSart Studio
Русская поддержка phpBB