1. Форумный чат переехал в Telegram.
  2. В сообществе нашего форума Вконтакте создан раздел по продаже электронных компонентов.
    Каждый может продать в нем свои залежавшиеся детали. Подробности здесь.

Воюем с антивирусами

Тема в разделе "Программирование", создана пользователем SeregaZ, 21 мар 2015.

  1. SeregaZ

    SeregaZ В доску свой

    Сообщения:
    391
    Симпатии:
    38
    любой маломальский супер гений программирования на каком это нибыло языке сталкивался с тем, что всякие антивирусы ругались на его очередной шедевр. и virustotal.com красноречиво свидетельствует об этом. как-то в очередной раз решив все потестировать залил туда новую версию своей программы - какого же было мое удивление, когда 24 из 57 антивирусов намели пургу в мой адрес. настроение испорчено :)

    ругалось причем не на основную программу, а на анинсталятор - програмка которая призвана удалять мою программу. пересмотрел код - ну и что там такого страшного? ну удаляет папку в программ файлс, ну удаляет ветку реестра, ну восстанавливает ярлыки на рабочем столе, которые до этого были заменены (упс! кажется я попался!). меня конечно поражает, что эти антивирусные компании не изучают вопрос полностью, не изучают анамноз, не проверяют все связи программы с другими и делают свой скороспелый вывод - программа заразна! конечно изучить каждый случай в отдельности не предоставляется возможным, понятно что антивирусы работают по каким-то строго определенным алгоритмам и частичное попадание в эти алгоритмы и вызывают срабатывание. ну и virustotal.com конечно прикладывают к этому руку :) по всей видимости антивирусные компании тщательно изучают статистику на данном портале, и если сегодня сработал всего 1-2 антивируса, то программа берется на заметку и через неделю-две - другие антивирусы подтягиваются и добавляют свои детекты (ну или просто прут антивирусные базы друг у друга).

    так вот... из всей сработавшей бригады в 24 тела опытным глазом были отобраны более менее наслуху, и начата работа по связи с суппортами с целью исключения из срабатываний.
    1. касперский - вот уж не ожидал заподлянки :) - до этого сколько с ними работал всегда очень качественный саппорт. чуть ли не до винтика разберут твою программу и повесят на сайте описание.

    там оказалось довольно таки просто: на сайте регистрируемся (никаких кодов активации не понадобилось, правда возможно это повлияет на скорость реакции по появлению ответа на запрос), потом там есть форма отсылки вируса, где выбрать из списка ложное срабатывание, приложить архив с паролем virus и отправить. по идее должно будет прийти письмо, где Евгений Касперский будет извинятся и пообещает добавить в исключения в следующем же обновлении.

    2. symantec - порадовала скорость реакции. видимо суббота у них вполне рабочий день :) вчера отправлял запрос, сегодня ответили. сам запрос отправлять тут: https://submit.symantec.com/false_positive/
    ответ положительный, сказали что включат в исключения, а заодно предложили поучаствовать в некоем "Белом списке" - заранее присылать им инсталлятор своего продукта, чтобы он был внесен в исключения. возьму на заметку и обязательно воспользуюсь на следующем обновлении: https://submit.symantec.com/whitelist

    3. mcafee - фьях... статья здесь https://kc.mcafee.com/corporate/ind...raft=false&platinum_status=false&locale=en_US насколько я понял писать письмо по адресу virus_research_gateway@avertlabs.com с темой Possible False. написал, сэмпл приложил, в тексте на всякий на буржуйском языке добавил описание. пока ответа нет.

    4. k7 - что это? - по всей видимости суппорт здесь: https://www.k7computing.com/eng/k7-contact-support отписал. хотя сомневаюсь что это именно туда надо слать. ну посмотрим.

    5. avira - https://analysis.avira.com/en/submit тут вроде все понятно что делать. тоже ответа пока нет. посмотрим.

    далее у меня кончилось терпение... знаю что у нода есть подобная служба, но его не было в срабатываниях. так что потом если чего - добавлю. с др.вебом по моему никогда проблем не было, так что не знаю как там у них с этим обстоит дела. битдефендер - там через форум по моему надо создавать заявку (на базах этого битадефендера построена работа целых пяти антивирусов в вирустотал, так что он в приоритете в случае срабатывания :) так-же как и тот K7 - две позиции в вирустотале) тренд микро по моему 2 позиции. надо тоже поискать их службу.

    по мере поступления ответов - буду обновлять тему :)


    авира отписалась, что дескать да - ложное срабатывание. уже минус 2 :) смотрим дальше...
    Последнее редактирование: 21 мар 2015
    radioengineer нравится это.
     
  2. SeregaZ

    SeregaZ В доску свой

    Сообщения:
    391
    Симпатии:
    38
    что-то как две службы ответили, так больше и не отвечают... но все равно прогресс:
    https://www.virustotal.com/en/file/...5b1e063cafb0ebac364ea389/analysis/1427274499/

    теперь из 24 антивирусов срабатывают... 28(!) [​IMG]

    как я и предполагал битдефендер со своими подружками подтянулся к тусовке и начал орать вирус вирус :) зато Авира и Симантек, как и обещали - добавили в исключения и теперь в зеленом статусе. Касперский так и не ответил... чтоб ему сегодня икалось во время обеда. подожду еще от него ответа. а вот с битдефендером надо будет разбиратся... пойду создам заявку на форуме :)

    пока искал в избранном битдефендер - нашел службу нода. так что добавляю ссылку: http://www.esetnod32.ru/support/knowledge_base/new_virus/

    так. оказывается создавать тему на форуме не обязательно - есть форма для отсылки: http://www.bitdefender.com/site/Main/automaticSampleUploader/ заполнил, файл приложил. но как-то сомнительно... система файл съела, по идее должно было прийти на почту уведомление что присвоен такой-то тикет, ждите результата - но никакого письма не пришло. плюс отправка была не естественно долгой, и плюс в форме отправке не было поля для комментария, где бы я красноречиво расписал бы, что моя программа нивчем не виновата и её подставили! (а все. отбой пожарной тревоги :) с запозданием пару минут письмо все-таки пришло, причем сразу две копии. теперь остается ждать.)

    c Трендмикрой, по всей видимости, ничего не выйдет. требует номер активации зараза. https://esupport.trendmicro.com/SRF/srfnabu.aspx?locale=en повбивал что попало, файл приложил. там еще страну на выбор надо было выбрать - Казахстана нет. и России нет. вот сраный антивирус а!?!? письма-подтверждения опять не пришло... хотелось бы верить конечно что просто запаздывает, как с битдефендером. ну посмотрим.
    так. письмо пришло, но странное :) там опять форма для отправки, правда несколько иная... заполнил еще раз, опять приложил архив с паролем virus и отправил. теперь только ждать.
    Последнее редактирование: 25 мар 2015
    radioengineer нравится это.
  3. SeregaZ

    SeregaZ В доску свой

    Сообщения:
    391
    Симпатии:
    38
    вот наконец касперский соизволил ответить :) ответ положительный, вносят в исключения. и чуть ранее ответили из трендмикро: дескать этот файл является составной частью программы, пришлите нам полный установочный комплект. логика у них конечно шикарная: чтобы составить мнение что это вирус - достаточно этой малой составляющей, а как вносить в исключения - пришлите весь комплект. послал. посмотрим.
  4. SeregaZ

    SeregaZ В доску свой

    Сообщения:
    391
    Симпатии:
    38
    что-то я подзабросил свою тему, надо бы немного обновить :)

    тренд микро все меня кормил автоматическими завтраками чуть ли не месяц, типа ожидайте вы все еще на анализе и все такое. в конечном итоге родил ответ:
    The following files are verified to be non-malicious:

    MNP_2_05.exe (1,038,848 bytes)
    UninstallMNP.exe (24,064 bytes)

    Trend Micro strongly encourages you to update your pattern files regularly from the following site to protect you from the old to the latest malware threats.


    ну и сегодня решил потестить: https://www.virustotal.com/en/file/...5b1e063cafb0ebac364ea389/analysis/1430679341/ где результат уже оказался куда более хорошим, чем был :) 18 попугаев, кричащих вирус вирус! вместо 28. прогресс, однако, товарищи!

    [​IMG]


    из этого эпического списка нонейм антивирусов более менее на слуху остается два штуки: маккафи и аваст. маккадафи я писал, ответа не пришло. видимо все-таки не туда я написал... какнибудь потом напишу еще разок. а вот аваст... ну с ним оказалось не сложно. на сайте быстро нашлась форма заявления о ложном срабатывании:
    https://support.avast.com/Tickets/Submit/RenderForm/100/&cls04&ptf08&lic04&scr05
    заполнял на русском языке. хотя думаю надо было на буржуйском... мало ли что за менеджер там будет отвечать...
  5. SeregaZ

    SeregaZ В доску свой

    Сообщения:
    391
    Симпатии:
    38
    аваст взбрыкнули, дескать нет срабатывания. и действительно через несколько дней аваст перестал детектить. видимо не признали, но втихоря срабатывание убрали :)

    заодно додолбился до К7 антивируса - их двоя на вирустотал, так что можно сказать в приоритете. там надо было сделать архив с паролем infected и послать им в саппорт. причем архив еще придется переименовать в что-то типа .dat файл, иначе сраный гугл - а именно на нем основана их почта - не пропустит это письмо, если это будет .rar или .zip. этот сраный гугл совсем ахамел, требует чтобы файлы слались в архивах без пароля. госдепу неимётся.

    остался маккадафи антивирус. что-то я так и не раздуплил в буржуйском языке, что там от меня требовалось по инструкции. у какой-то из подружек вроде бы был такой антивирус. как поймаю её в сети - посмотрю, может там через сам антивирус надо отсылать.
  6. SeregaZ

    SeregaZ В доску свой

    Сообщения:
    391
    Симпатии:
    38
    война моя вроде закончилась победой - всего несколько "нонейм" антивирусов детектит. правда видимо не совсем война - а просто одно из сражений в войне - мне просто нужно скоро будет выпускать новое обновление, а следовательно придется видимо по второму кругу рассылать свои письма "щасья" антивирусным компаниям... но тут вспомнил я рекомендации на форуме по борьбе с ложными срабатываниями:

    1) Минимизация скрытых, несанкционированных действий.
    Сразу после запуска рисуем наш интерфейс, и только после появления окна на экране - прочие инициализации.
    (все что до отрисовки фейса - скрытые действия)
    2) "Опасные" (с точки зрения АВ) операции только по "согласию пользователя".
    сеть, файлы(кроме конфигов), реестр - все эти операции вешаем на кнопки (на худой конец на таймер окна) - "пользователь согласен [​IMG] "
    3) Минимизация количества "опасных" функций.
    например нам нужно RunProgram(), а это "опасная функция" (кто-то будет спорить что нет?)
    если нам оно надо 1 раз, тогда - еще терпимо, а если несколько? А пурик раскидает соответствующую АПИ по программе, столько раз, сколько вызываем (именно так и есть в вирусах написанных на асме)
    делаем обертку:
    Procedure MyRunProgram(PrgName$,Param$,Dir$,Flag)
    ProcedureReturn RunProgram(PrgName$,Param$,Dir$,Flag)
    EndProcedure
    и вызываем ее (и тогда у нас в коде только 1 опасный вызов). Аналогично со всеми опасными функциями.


    пока применил только 3 пункт к своему проекту - везде, где требовался запуск внешних программ - сделал подобную обёртку для запуска. то-то я удивился, когда вирустотал не выдал ни единого срабатывания :) так что теперь делать обновление совсем не страшно - нужно просто еще подправить свой код, согласно этим нехитрым правилам и будем надеятся связываться с писаниной в саппорты не понадобиться вовсе :)
  7. SeregaZ

    SeregaZ В доску свой

    Сообщения:
    391
    Симпатии:
    38
    в процессе серфа была найдена замечательная статья на эту тему. в сравнении с той статьей - моя какой-то бомж привокзальный по количеству антивирусов :) там представлена цела таблица контор и их контактов для запросов о ложном срабатывании:
    http://www.techsupportalert.com/con...alse-positives-multiple-antivirus-vendors.htm

    и самое главное она вроде обновляется! то есть значит там отслеживают появление новых антивирусных компаний и обновляют информацию о старых.
    radioengineer нравится это.
  8. _VN_

    _VN_ В доску свой

    Сообщения:
    482
    Симпатии:
    64
    Род занятий:
    Инженер
    Адрес:
    Алматы
    Касперский, если он один в системе и до него не стоял другой антивирус, обеспечивает 100% защиту системы. В дополнении к сказанному, должен стоять только один браузер, например Yandex в комплекте с Adguard. Периодически нужно чистить систему Ccleaner-ом и делать это в автомате при старте системы.
    Антивирусы лепят все, кому не лень, и рассчитывать на их порядочность и профессионализм глупо. Разработка антивируса сложная и весьма дорогая разработка. Для этого нужно ещё и время. Данные о вирусе и способе его нейтрализации это дорогая в коммерческом смысле информация. Скорее всего, ТС уже попал в "серый" список "разведчиков" от конкурентов и этим объясняются "некорректные" ответы KAV.
    Последняя покупка компанией Касперского утилиты AVZ даёт возможность самостоятельно провести полную проверку системы. Если к тому же установлена система резервирования Acronis, то тогда имеется полная гарантия сохранности системы и программ на день записи в защищённой зоне диска.
  9. SeregaZ

    SeregaZ В доску свой

    Сообщения:
    391
    Симпатии:
    38
    я конечно люблю касперского и все такое... но обеспечивает 100% защиту системы? да лаааааадно? :)))) никакой антивирус не обеспечивает 100% защиты. бывало пару раз что я им отсылал заразу, которую они не детектили. проблема антивирусов в том, что они всегда на шаг позади от вирусопЕсателей. конечно есть некие общие алгоритмы для вирусов, и тем не менее эти гении темной силы умудряются удивлять того же Евгения Касперского время от времени, не говоря уже про прочие конторы. все зависит от того, как быстро офис Касперского получит сэмпл этой самой новой заразы, а если эта зараза партизанит и не показывается, и по тихому делает свое черное дело - то к Касперскому может и не попасть, а значит они не смогут родить противоядие.
  10. UL7AAjr

    UL7AAjr В доску свой

    Сообщения:
    1.910
    Симпатии:
    315
    Род занятий:
    инженер-программист
    Адрес:
    Алма-Ата
    Касперский распознает 100% известных ему вирусов:) И делает предположения о возможном вирусе по подозрительной, с его точки зрения, активности приложения. Чудес не бывает.
  11. _VN_

    _VN_ В доску свой

    Сообщения:
    482
    Симпатии:
    64
    Род занятий:
    Инженер
    Адрес:
    Алматы
    Для создания антивируса для вируса, который появился, например, сегодня, нужна машина времени, которая даст Касперскому лишнюю неделю времени для исследования и создания антивируса, который излечит Ваш компьютер завтра. Чудес не бывает...
    Зато Вы можете сделать откат к системе, когда такого вируса заведомо небыло с помощью Acronis. Пару раз так и приходилось поступать.
  12. SeregaZ

    SeregaZ В доску свой

    Сообщения:
    391
    Симпатии:
    38
    ну так и надо было писать, что дает 100% защиту от вирусов которые знает! я тоже могу написать такой антивирус, который дает защиту 100% от вирусов, которые он знает :)))))))
    monitorrr и UL7AAjr нравится это.

Поделиться этой страницей