Forum Delphi.cz

Delphi => Firemonkey => Téma založeno: Fala 10-09-2012, 13:17:06

Název: Vir v EXE
Přispěvatel: Fala 10-09-2012, 13:17:06
nevím, jestli jsem tohle dobře zařadil, ale stalo se mi to u FM aplikace.

Jeden uživatel mi nahlásil, že AVAST mu hlásí zavirovanou aplikaci. Na kompu mám MS Essential, projde to i přes AVG a bez viru. Zkoušel jsem i nainstalovat Avast Free a tam to také nehlásilo. Nicméně uživatel může mít placenou verzi, která bude zřejmě dělat nějakou heurelistickou analýzu.

Myslíte, že by Delphi mohlo generovat kód, který by mohl antivir vyhodnotit jako vir?

Avast je sice dost známý, ale asi bude hlásit také planý poplach.

Stalo se vám někdy něco podobného?
Název: Re:Vir v EXE
Přispěvatel: pepak 10-09-2012, 13:23:17
Myslíte, že by Delphi mohlo generovat kód, který by mohl antivir vyhodnotit jako vir?
Samozřejmě. Antiviry obecně vyhodnotí jako virus kde co, bez ohledu na to, jestli to škodlivé je nebo není.

Citace
Avast je sice dost známý, ale asi bude hlásit také planý poplach.
Skoro s jistotou.

Citace
Stalo se vám někdy něco podobného?
Jasně. Třeba BitDefender mi v YTD hlásí planý poplach každého půl roku. Já jim vždycky nahlásím false positive, vysvětlím jim, v čem spočívá, oni to "opraví" a za půl roku to zase zavedou do detekce, protože stejnou dekompresní rutinu (7z SFX zkomprimované UPXem) použije některý virus...
Název: Re:Vir v EXE
Přispěvatel: pf1957 10-09-2012, 14:15:02
Jasně. Třeba BitDefender mi v YTD hlásí planý poplach každého půl roku. Já jim vždycky nahlásím false positive, vysvětlím jim, v čem spočívá, oni to "opraví" a za půl roku to zase zavedou do detekce, protože stejnou dekompresní rutinu (7z SFX zkomprimované UPXem) použije některý virus...

Ja to zpravidla zkontroluju na www.virustotal.com (http://www.virustotal.com) a podivam se, co je zac ten virtus, co to reportuje. Zatim to bylo vzdycky false positive.
Název: Re:Vir v EXE
Přispěvatel: < z > 10-09-2012, 20:56:56
ano, potvrzuji, antiviry jsou zlo :)
Název: Re:Vir v EXE
Přispěvatel: pf1957 10-09-2012, 22:20:12
ano, potvrzuji, antiviry jsou zlo :)
Vubec nejshorsi jsou ty, ktere se povesi do I/O systemu a strkaji nos do veci, do kterych jim nic neni, napr. do casto se menicich logu :-(
Název: Re:Vir v EXE
Přispěvatel: Mi.Chal. 10-09-2012, 23:09:31
Vubec nejshorsi jsou ty, ktere se povesi do I/O systemu a strkaji nos do veci, do kterych jim nic neni, napr. do casto se menicich logu :-(

u slušného antiviru se dají nastavit výjimky, které soubory/adresáře nebo procesy to má ignorovat
Název: Re:Vir v EXE
Přispěvatel: < z > 10-09-2012, 23:14:09
to jsou, ale vysvetluj uzivatelovi, jak najit nastaveni a ze je to opravdu nutne a ze to vir neni :D
Název: Re:Vir v EXE
Přispěvatel: pf1957 11-09-2012, 07:35:58
to jsou, ale vysvetluj uzivatelovi, jak najit nastaveni a ze je to opravdu nutne a ze to vir neni :D
No a ne vzdycky mas sanci nastaveni ovlivnit: zejmena kdyz je to enteprise prostredi s centralne urcenou security policy. Zazil jsem na vlastni kuzi, co dalo usili vydrzkovat vyjimku pro server, na ktery jsme meli dodat nas soft, aby nam AV nelezl po trace logach.
Název: Re:Vir v EXE
Přispěvatel: leonell 09-10-2012, 17:47:01
Zrovna v neděli se mně to stalo. Přidal jsem jeden řádek a ESET šup - virus!
Tak jsem to rozdělil na dva řádky, což zřejmě kompilátor přeložil jinak a ESET to sežral i s navijákem k mé spokojenosti :) Stalo se mi to za rok asi třikrát.
Název: Re:Vir v EXE
Přispěvatel: < z > 09-10-2012, 20:14:23
zrovna ted jsem narazil taky na zajimavou vec,
zmensoval jsem EXE a odstranil jsem RTTI ... hned vir

a nejzajimavejsi je, ze sem pres virustotal poslal soubor, kam jsem dam maly volani domu :)
to bych neveril, kolik serveru antivirovych spolecnosti je zapsano v blacklistu pro spam (hledano pres whois) - vsechny