Почему при запуске программа долго проверяется Каспером?

← →
TComponent (2011-10-04 20:53) [0]

Здравствуйте! Есть программа, написанная на Дельфи (исходники есть). Когда я запускаю ехе-файл этой программы, антивирусу Касперского в ней видимо что-то не нравится, т.к. иконка Каспера в трее начинает "мигать" - видимо что-то проверяет - , но никаких сообщений, что это вредоносное ПО не появляется. Да и сама программа всё-таки открывается, только вот слишком долго - через секунд 10-15. Комп не слабый: многие другие проги (в т.ч. написанные на Дельфи) открываются почти сразу.

Может кто-то сталкивался с такой проблемой?

← →
Rouse_ © (2011-10-04 21:03) [1]

Все, у кого стоит Касперский сталкиваются с данной проблемой.

← →
TComponent (2011-10-04 21:08) [2]

> Все, у кого стоит Касперский сталкиваются с данной проблемой.

Как решают?

← →
Ega23 © (2011-10-04 21:12) [3]

> Как решают?

Заменой на Dr.Web

← →
TComponent (2011-10-04 21:16) [4]

> Заменой на Dr.Web

А если начальство не позволяет?

← →
Anatoly Podgoretsky © (2011-10-04 21:17) [5]

> TComponent (04.10.2011 21:08:02) [2]

Выкидывают Касперского

← →
Rouse_ © (2011-10-04 21:20) [6]

> TComponent (04.10.11 21:16) [4]
> А если начальство не позволяет?

Тогда рассказываешь начальству про перспективы обхода касперского из третьего кольца и зачем оно вам надо, в том числе и сам касперский...

← →
Rouse_ © (2011-10-04 21:23) [7]

Ну а если серьезно, то мы решили отправкой ЭЦП касперу

← →
alexdn © (2011-10-04 21:24) [8]

> Rouse_ © (04.10.11 21:23) [7]
> Ну а если серьезно, то мы решили отправкой ЭЦП касперу
и что каспер?

← →
Rouse_ © (2011-10-04 21:30) [9]

что каспер не знаю - но юзвери больше не жалуются.

← →
TComponent (2011-10-04 21:32) [10]

> отправкой ЭЦП касперу

ЭЦП "привязывается" к нужной проге и вносится БД каспера? я правильно понимаю?

← →
TComponent (2011-10-04 21:33) [11]

> вносится БД

--> вносится в БД

← →
Dennis I. Komarov © (2011-10-04 21:38) [12]

> Тогда рассказываешь начальству про перспективы обхода касперского
> из третьего кольца и зачем оно вам надо, в том числе и сам
> касперский...

хотел бы поприсутствовать :)

← →
Rouse_ © (2011-10-04 22:19) [13]

> TComponent (04.10.11 21:32) [10]
> я правильно понимаю?

как-то так...

← →
sniknik © (2011-10-04 22:31) [14]

> Заменой на Dr.Web
заменой на Avira

> А если начальство не позволяет?
что значит не позволит? работать же невозможно...
отладка тормозит (до 5мин бывает переход по F8 в трассировке), в момент переключения в режим отладки сервиса дельфя попросту "убивается" (восстановить можно только с админской учетки с сервера), сборка сетапа прерывается через раз "файл занят", с утра (особенно при просроченном обновлении баз) комп "включается" (считаем момент выхода из "прострации" когда все еле двигается) через пол часа-час, без него 3-7 мин.

админам немного по надоедал с восстановлением дельфи (раза 3 в день)... и теперь у всех корпоративный каспер, а у меня Avira.

← →
Rouse_ © (2011-10-04 22:41) [15]

Avira тяжеловата немного, но что-то в ней есть, хотя и не мой выбор :)

← →
QAZ (2011-10-04 23:42) [16]

> sniknik © (04.10.11 22:31) [14]

про список исключений не слышал?

← →
Германн © (2011-10-04 23:53) [17]

> Заменой на Dr.Web

+1

← →
Германн © (2011-10-04 23:56) [18]

> QAZ (04.10.11 23:42) [16]
>
>
> > sniknik © (04.10.11 22:31) [14]
>
> про список исключений не слышал?
>

Это ж насколько надо быть параноиком (т.е. "Анти Кто б сомневался"), что бы вполне нормальные действия вносить в исключения?

← →
sniknik © (2011-10-05 00:26) [19]

> про список исключений не слышал?
мозгами "шевелить" не пробовал?
> восстановить можно только с админской учетки с сервера
"серверная установка", неверное действие нельзя отменить без "вмешательства извне" ака "с локальными правами", а настройки админские локально будут открыты?

p.s. для "полудурков в полукедах" - все исключения и т.д. сделаны "специалистом по безопасности" в первый же случившихся раз (или вернее второй, когда притащил его к компу и продемонстрировал). изменений поведения не произошло.
p.p.s. сколько же у нас ламеров развелось.

← →
sniknik © (2011-10-05 00:33) [20]

> Avira тяжеловата немного
это смотря с чем сравнивать, после каспера мне вполне нормально, даже хорошо....
хотя, не вижу разницы, что с Avira, что совсем без анитивируса (пару дней не ставил), может тесты какие и покажут, но не запускал.

← →
Германн © (2011-10-05 00:36) [21]

> все исключения и т.д. сделаны "специалистом по безопасности"
> в первый же случившихся раз (или вернее второй, когда притащил
> его к компу и продемонстрировал). изменений поведения не
> произошло.

Ну не исключаю, что сей "специалист по безопасности" был "не специалистом по Касперскому".

← →
QAZ (2011-10-05 10:44) [22]

> Германн © (04.10.11 23:56) [18]
> Это ж насколько надо быть параноиком (т.е. "Анти Кто б сомневался"),
> что бы вполне нормальные действия вносить в исключения?

а с каких пор изменения экзешника во время компиляции и копание в памяти чужого процесса во время отладки стали нормальными действиями с точки зрения антивируса??

> sniknik © (05.10.11 00:26) [19]
> p.s. для "полудурков в полукедах" - все исключения и т.д.
> сделаны "специалистом по безопасности" в первый же случившихся
> раз (или вернее второй, когда притащил его к компу и продемонстрировал).
> изменений поведения не произошло.
> p.p.s. сколько же у нас ламеров развелось.

ну не нравятся тебе полукеды - не носи,
а "спецам" своим передай что в исключения надо пихать всю папку проекта и дельфи + проактивку настроить и антивир вообще

← →
antonn © (2011-10-05 11:20) [23]

> а "спецам" своим передай что в исключения надо пихать всю
> папку проекта и дельфи + проактивку настроить и антивир
> вообще

а если будет скомпилен сторонний код он будет выполнен без ограничений?

>
> Может кто-то сталкивался с такой проблемой?

новый проект и таймер на форме, дельфи 7 + КИС11 - "проверка" на 30-40 секунд всегда, я хз что ему не нравится. рядом гигантский проект с работой через сеть, реестром - мгновенно запускается после компилирования.
попробуй UDS отрубить (если KSN уже выключен, разумеется)

← →
sniknik © (2011-10-05 11:24) [24]

> а "спецам" своим передай что в исключения надо пихать всю папку проекта и дельфи
обязательно передам, а то ж они не догадываются и пихают туда папку с порно картинками, причем с путями своего компа...

p.s. сарказм если что. а то смотрю до некоторых "туго" доходит.

← →
sniknik © (2011-10-05 11:43) [25]

> я хз что ему не нравится.
аналогично

> рядом гигантский проект с работой через сеть
у нас тоже еще есть "дельфисты", пара, и у них проблем нет (кроме как с начальной загрузкой, ну так они просто компы не выключают). что не так у меня непонятно, хотя, все согласны, что мой проект самый сложный и банально самый объемный... но ... оно же и на "мелочи" случалось, простейших прогах "для теста", типа форма и пара функций. (это про зависания в отладке).

← →
QAZ (2011-10-05 11:55) [26]

> а если будет скомпилен сторонний код он будет выполнен без
> ограничений?

переведи на русский

> новый проект и таймер на форме, дельфи 7 + КИС11 - "проверка"
> на 30-40 секунд всегда, я хз что ему не нравится. рядом
> гигантский проект с работой через сеть, реестром - мгновенно
> запускается после компилирования.

сетью и реестром занимается проактивка
а еще есть магическое слово "сигнатура" ,слыхал наверно?
так вот благодаря этой хрени твой прога может стать вирусом просто после перемены 2х строчек кода местами

зы
неужто ты такой наивный батонокидатель что незнаеш что пустая форма с таймером это сотня тысяч строк кода
и лазит она не только в реестр, а во все интимные места системы :)

← →
antonn © (2011-10-05 13:18) [27]

> сетью и реестром занимается проактивка
> а еще есть магическое слово "сигнатура" ,слыхал наверно?
>
> так вот благодаря этой хрени твой прога может стать вирусом
> просто после перемены 2х строчек кода местами
>
> зы
> неужто ты такой наивный батонокидатель что незнаеш что пустая
> форма с таймером это сотня тысяч строк кода
> и лазит она не только в реестр, а во все интимные места
> системы :)

Копетан, форумом не ошибся?

> переведи на русский

ты ниже такие умные вещи начал всем втюхивать, и тут вдруг запнулся?
намекну дальше - induc

← →
QAZ (2011-10-05 13:36) [28]

> намекну дальше - induc

ну если боитесь induc че ныть тогда про тормоза?
как я уже писал и без всяких индюков при определенной комбинации кода\импортируемых функций екзешник спалица как вирус
у меня такое было за 4 года до нахождения индюка

> ну если боитесь induc че ныть тогда про тормоза?

нужно внимательно перечитать посты выше

> QAZ (05.10.11 10:44) [22]
> а "спецам" своим передай что в исключения надо пихать всю
> папку проекта и дельфи

А ты я смотрю разбираешься и видимо в курсе что у антивирей есть еще неотключаемые исключениями опции. Например тот-же SEP, хоть весь диск С в исключения поставь - ему как-бэ побоку на то что ты там понастраивал будет :)
Ну или как пример: попробуй поставить в исключения маску плана "*.exe"

> QAZ (05.10.11 11:55) [26]
> сетью и реестром занимается проактивка

Проактивка занимается тупо перехватом, анализом занимается другая часть кода, включая и сигнатурный анализатор на данные передаваемые перехваченным функциям.
И если этому анализатору нужно аж полминуты для принятия решения - то в топку его вместе с разработчиками.

> И если этому анализатору нужно аж полминуты для принятия
> решения - то в топку его вместе с разработчиками.

я тут на localhost отлаживал скрипт (своя служба в виде вебсервера), так из-за отрезанного KSN/UDS (на уровне маршрутизатора заблокировал их сервера) касперский в 70-80% не давал загрузиться ресурсам (таймаут 15 секунд), половина картинок не грузилась. Интересно, что он хотел у своих серверов спросить насчет картинок крутящихся в локальном вебсервере :) И к тому же антивирус не смущали предыдущие неудачные попытки соединения со своими серверами, почти при каждом рефреше страницы в браузере он снова и снова долбился туда. Пришлось на время отладки его вырубить (он еще и POST-данные изменял, а я в службе уже все залогировал и не мог понять почему после заголовков всякий мусор идет =)).

← →
QAZ (2011-10-05 14:06) [32]

> antonn © (05.10.11 13:38) [29]

перечитал,так и есть

> Rouse_ © (05.10.11 13:44) [30]

ну SEP это вообще отдельная история,плохая
такое поведение в основном у антивиров у которых в принципе нет варианта "игнорировать" для найденых "угроз" и ЧСВ
у каспера вроде с этим все норм

У каспера тоже трудности, я изучал утекшие исходники КИС, открытий было много... Хотя может что в дальнейшем и изменится, бо они года полтора назад взяли Зайцева на работу, автора AVZ чьи исходники я так-же изучал. Если он свои идеи таки протолкнет в плане модификации ядра, то вполне возможно что получится очень даже ничего.

Уверено мужика в угол загоняете.

> Anatoly Podgoretsky © (05.10.11 14:26) [34]
>
> Уверено мужика в угол загоняете.

А я че? Я ниче - только факты по существу :)

кстати все "обсуждение" возможно офтопик... т.к. жалоба на "программа долго открывается" может вообще не связана с касперским, может она там кучу подготовительных действий делает, сто-пицот миллионов файлов открывает... которые каспер само собой проверяет (настроено к примеру "при открытии").
пусть другие бы быстрее справились, и 15 сек превратились бы в незаметные 1.5, но... а "многие другие" просто ничего подобного не делают.
т.е. обсуждать надо бы код, а не каспера.

> которые каспер само собой проверяет
объясняет "мигание без сообщений".

Открою маленькую тайну, у антивирей один из приоритетов есть признак того что программа была собрана только что (соответствующее поле в PE заголовке), почему так - неизвестно, видимо предполагается что если в системе сидит полиморфный или метаморфный вирус, то в морфе следующего поколения сгенерированного предыдущей версией кода, будет выставляться это поле правильно.
Второе на что реагируют антивири и фаерволы с проактивкой, это как ни странно на DebugAPI, т.к. бытует мнение что продвинутые руткиты используют данный прием для своего сокрытия (мне встречалась всего пара/тройка таких).
Поэтому весь DebugAPI ими контролируется полностью, но проблема в том что контролируется криво, легко можно завесить дельфевый отладчик, контролируемый такой проактивкой при дебаге, кода который активно манипулирует с сегментными регистрами например.
Именно по этой причине я отказался от столь любимого и уважаемого мной Outpost Firewall, т.к. он мало того что вешает отладчик так еще и вешается внутри драйвера, почле чего система висит, "ваапче висит".
Этим же болеет каспер, только в меньшей форме, очень сильно болеет SEP - но он уже просто "очень сильно".

← →
QAZ (2011-10-05 15:12) [39]

> ...я изучал утекшие исходники КИС...

у меня тоже есть эти исходники,и они такие древние что даже нет смысла о них вспоминать
а еще есть прямая зависимость - от новизны версии чего либо, или от прихода умных людей
скорость и оптимизация идут в минус ибо как любят говорить на этом форуме "в наше время гигагерц и терабайт,не актуально..."

> кстати все "обсуждение" возможно офтопик

вполне
у меня например без антивирусов всяких при отладке F8 также в ступоре,а вот кнопка на тулбаре моментально срабатывает

> QAZ (05.10.11 15:12) [39]
> у меня тоже есть эти исходники,и они такие древние что даже
> нет смысла о них вспоминать

А ты про какие? Те которым пять лет или про те которые в том году утекли?

Почему при запуске программа долго проверяется Каспером? Найти похожие ветки