Работа программы расценивается антинвирусом как шифровальщик | |
---|---|
Sega Автор Сообщений: 511 Откуда: Ярославль Дата регистрации: 27.12.2000 |
Столкнулся с такой проблемой (сабж). Суть программы в том, что она меняет структуру таблиц файлов DBF по следующему алгоритму:
1. Копирует все файлы *.DBF в подпапку OLD_DATA 2. Программно создает новые DBFки с теми же именами, что и были ранее в этой папке 3. В цикле при помощи команды APPEND FROM ... данные из старых DBF добавляются в новые (только что созданные) Сама программа конвертера оформлена в виде файла CNV.EXE и автоматически запускается при появлении новой версии другой программы. Проблема в том, что за последний месяц почти все антивирусы (особенно DrWEB) стали блокировать выполнение файла CNV.EXE определяя его как вирус шифровальщик. И я запарился восстанавливать пользователям данные и в ручную их конвертировать. Да и пользователям такой геморой не нужен. Как уйти от этого? Как поменять алгоритм, что бы не сталкиваться с паранойей антивируса? P.S1. Вариант с занесением программы в исключения прошу не предлагать P.S2. В DrWEB написал в техподдержку, попросили файлы логов. Отправил. На этом дело и закончилось. Исправлено 1 раз(а). Последнее : Sega, 05.07.17 12:17 |
Re: Работа программы расценивается антинвирусом как шифровальщик | |
---|---|
Vladimir Sklyar Сообщений: 1397 Дата регистрации: 13.06.2002 |
добавить папку с программой в исключения антивируса
------------------ С уважением Владимир. |
Re: Работа программы расценивается антинвирусом как шифровальщик | |
---|---|
Sega Автор Сообщений: 511 Откуда: Ярославль Дата регистрации: 27.12.2000 |
Спасибо, но я ранее писал, что этот вариант исключен на 100% |
Re: Работа программы расценивается антинвирусом как шифровальщик | |
---|---|
PaulWist Сообщений: 14618 Дата регистрации: 01.04.2004 |
CNV.EXE - защищён DeFox-ом?
------------------ Есть многое на свете, друг Горацио... Что и не снилось нашим мудрецам. (В.Шекспир Гамлет) |
Re: Работа программы расценивается антинвирусом как шифровальщик | |
---|---|
Sega Автор Сообщений: 511 Откуда: Ярославль Дата регистрации: 27.12.2000 |
Да, защищен Refox'oм. Вот выдержка из MAK-файла Цитата: Исправлено 1 раз(а). Последнее : Sega, 05.07.17 12:33 |
Re: Работа программы расценивается антинвирусом как шифровальщик | |
---|---|
spinz Сообщений: 5263 Дата регистрации: 21.01.2016 |
Надо было в спортлото написать - тогда шансов на ответ было бы больше. |
Re: Работа программы расценивается антинвирусом как шифровальщик | |
---|---|
Simple777 Сообщений: 33855 Дата регистрации: 05.11.2006 |
Я обращался в техподдержку DrWeb несколько раз. Всегда решали проблему. Но с шифровальщиком, видать, дело непростое...
|
Re: Работа программы расценивается антинвирусом как шифровальщик | |
---|---|
Igor Korolyov Сообщений: 34580 Дата регистрации: 28.05.2002 |
Так уровень 2 или 2+? Для уровня 2 потребуется подменять файлы рантайма на модифицированные...
Защита же рефокса 2+ меняет уже загруженный в память фоксовый рантайм, потому запросто может распознаваться эвристикой антивируса как потенциально опасная. Дефокс, кстати, тоже это делает, ещё и запуск динамически созданного машинного кода и антиотладочные приёмы использует - для него риск попасть под каток эвристики антивируса ещё больше... Вообще не понимаю смысла в этих защитах, тем более сегодня... Убери защиту и я полагаю все вопросы тут же снимутся сами собой ------------------ WBR, Igor |
Re: Работа программы расценивается антинвирусом как шифровальщик | |
---|---|
Crispy Сообщений: 18571 Дата регистрации: 16.05.2005 |
Раньше помнится только Касперский убивал послерефоксовское, паразит такой. Последнее время кстати наблюдаю все большее охреневание уже сплошь всех антивирусов. Даже скромный прежде доктор стал периодически мучить подвисами в самых неожиданных местах. Видимо не так давно хорошо
Кстати фокс можно паковать еще и MoleBox-ом. Вроде на него никто не ругается. Есть только некоторые нюансы для русских систем, жаль похоже проект заброшен, уже не исправят видимо. Не знаю правда по его криптозащищенности, но думаю не намного ниже рефокса. Для большинства уж точно черный ящик. Ну а для истинного хакера и рефокс не проблема. ;) ------------------ В действительности все иначе, чем на самом деле. (Антуан де Сент-Экзюпери) |
Re: Работа программы расценивается антинвирусом как шифровальщик | |
---|---|
spinz Сообщений: 5263 Дата регистрации: 21.01.2016 |
А какой-нибудь Themida или VMProtect можно запаковать фоксовый экзе?
|
Re: Работа программы расценивается антинвирусом как шифровальщик | |
---|---|
leonid Сообщений: 3204 Откуда: Рига Дата регистрации: 03.02.2006 |
Можно, но зачем?
|
Re: Работа программы расценивается антинвирусом как шифровальщик | |
---|---|
spinz Сообщений: 5263 Дата регистрации: 21.01.2016 |
Без понятия)
|
Re: Работа программы расценивается антинвирусом как шифровальщик | |
---|---|
Igor Korolyov Сообщений: 34580 Дата регистрации: 28.05.2002 |
Никто не использует, вот никто и не ругался По сути любой "защищальщик" такого рода является потенциальной жертвой антивируса. Антивирус не может проверить "содержимое" (на то она и защита), и в своей базе "доверенных приложений" наверняка твоей утилиты не будет (особенно если она ещё и обновляется чаще раза в пятилетку), чтобы её WhiteList-ить - так что он совершенно спокойно вырубит это "непойми что". И хоть я и противник любых АВ, но в данном вопросе с ними буду солидарен. На кой чёрт мне ПО которое невозможно проверить - ни вручную, ни программно, теми же эвристиками АВ И, кстати, чисто для проформы - любая защита фоксового ПО НЕ влазящая в его рантайм, при том желательно "понадёжнее", ещё и бесполезна. Т.к. путём инъекции несложного кода практически любая защищённая любым таким "навесным" защищальщиком программа бодро и с песнями сливает всё своё содержимое в совершенно открытом виде во внешние файлики... ------------------ WBR, Igor |
Re: Работа программы расценивается антинвирусом как шифровальщик | |
---|---|
Sega Автор Сообщений: 511 Откуда: Ярославль Дата регистрации: 27.12.2000 |
Коллеги спасибо.
Попробую пока убрать с файлов защиту Рефоксом. |
Re: Работа программы расценивается антинвирусом как шифровальщик | |
---|---|
Crispy Сообщений: 18571 Дата регистрации: 16.05.2005 |
Ну почему, я пробовал. Вот сам глянь например: www.virustotal.com Только китайцы всякие бестолковые что-то пишут. Хотя некоторые вроде пресловутого Комода, таки опознают при этом, что молебокс. Ни один же из серьезных антивирусников даже не поморщился. Вообще молебокс ничего страшного не делает, это по сути простой упаковщик с паролем, в отличие от того же рефокса, которые пытается шифровать собственно фоксовский код. Ну и понятно разумеется, как выше я кстати уже и говорил, что для серьезного хака нет проблем ни с рефоксом, ни с дефоксом, ни с чем-то другим. И вопрос защиты всегда упирается лишь в стоимость ее снятия. ------------------ В действительности все иначе, чем на самом деле. (Антуан де Сент-Экзюпери) |
Re: Работа программы расценивается антинвирусом как шифровальщик | |
---|---|
Igor Korolyov Сообщений: 34580 Дата регистрации: 28.05.2002 |
13 из 63-х, ТРИНАДЦАТЬ, Карл! И это "никто не ругается"
Я бы гарантированно не стал запускать вне виртуальной песочницы даже то что имеет всего пару детектов на вирустотале. Практически все АВ представленные на вирустотале одинаково "серьёзны" (и примерно одинаково вредны). Рефокс "шифрует фоксовый код" ровно в той же самой степени, как его шифрует СОБСТВЕННО сам фокс при установлении галочки "Encrypt". Он лишь слегка меняет то что можно назвать "ключом шифрования". Ну и плюс к тому дописывает небольшой "мусор" по которому он сам себя (свой серийный номер) и опознает. Проблема с АВ возникает лишь потому что в новых версиях он стал не таким "дубовым", и вместо требования таскать модифицированный фоксовый рантайм (vfpXr.dll) - в котором он и поменял то всего пару десятков байт - он проводит эти изменения "на лету". Если против "серьёзного хака" рефокс весьма слаб (есть инструменты автоматически снимающие его "защиту"), дефокс уже на порядок сложнее (но "вручную" вполне поддаётся взлому), то всякие молебоксы и прочие "навесные" защиты ВООБЩЕ "никакие". Дампер даже знать не будет про то что там есть какая-то защита Т.е. проку от их "защиты" ровно 0. И использовать их можно разве что для "удобства упаковки" - не 10 файлов у клиента держать а всего один. Я бы сказал что это смехотворное "преимущество" - но кому-то, возможно, оно и полезно... Конечно, если "совместить" молебокс с тем же рефоксом (в нём уже есть некоторые методы защиты от дамперов) то получится чуть более приемлемая защита... Только пользоваться утилитой дающей 13 срабатываний на вирустотале... Это надо быть особо упоротым фанатом сего продукта ------------------ WBR, Igor |
Re: Работа программы расценивается антинвирусом как шифровальщик | |
---|---|
Crispy Сообщений: 18571 Дата регистрации: 16.05.2005 |
Ты вот только честно скажи - ты про эти 13 когда-то слышал? Кроме Комоды думаю их даже найти не так просто. А уж Комода - такая гадость эта заливная рыба, что народ ее тоже не особо любит, ни у кого не встречал. Пытался когда-то ставить людям из-за бесплатности, но они через пару дней попросили удалить. Разорились купили доктора в итоге. ------------------ В действительности все иначе, чем на самом деле. (Антуан де Сент-Экзюпери) |
Re: Работа программы расценивается антинвирусом как шифровальщик | |
---|---|
ry Сообщений: 2113 Дата регистрации: 24.09.2007 |
Не поверю, что кроме Comodo ты не слышал хотя бы про ESET NOD32 и Panda, на слуху также F-Prot, Cyren, Zillya. Кстати, Comodo Internet Security очень даже мощная вещь, если "правильно готовить". Просто настроек уйма, а это отпугивает 90% пользователей. |
Re: Работа программы расценивается антинвирусом как шифровальщик | |
---|---|
Crispy Сообщений: 18571 Дата регистрации: 16.05.2005 |
Да речь не об этом. Просто я привел пример, если провести параллели, это как если бы скажем в решении важных международных вопросов прислушивались к мнению какой-нибудь Гонолупы. Поскольку есть как бы признанные антивирусы - некая "большая семерка", которые реально идут везде в первых строчках рейтингов. Бывает и они ошибаются, например как в отношении темы данного топика - переусердствуя в излишнем рвении. Но отнюдь не в том, чтобы не обнаруживать реальную угрозу! Т.е. истории не известен случай, чтобы Касперский на пару с доктором лоханулись, а какая-нибудь Панда нет! ;) Наоборот же - сколько угодно. Поэтому доверять всей этой китайской шатии-братии, даже Комоду с Пандой, не доверяя при этом хотя бы Касперу с доктором, а как видно из приведенной мною таблицы, они (а также еще несколько признанных гигантов) ничего не обнаруживают - это как бы признак дурного тона. Ну или как минимум - подростковое упрямство. ------------------ В действительности все иначе, чем на самом деле. (Антуан де Сент-Экзюпери) Исправлено 1 раз(а). Последнее : Crispy, 07.07.17 18:14 |
Re: Работа программы расценивается антинвирусом как шифровальщик | |
---|---|
Igor Korolyov Сообщений: 34580 Дата регистрации: 28.05.2002 |
Вся эта хрень ни разу не помогает ламерам не нахватать всякого г*на в сети. Поэтому считать одни АВ "признанными" а другие какими-то "левыми" у меня нет решительно никаких оснований.
И ещё раз - вопрос не в том какими АВ я пользуюсь или каким доверяю (таковых нет, если ты ещё не в курсе). Всё дело в том, что программа выдающая 13/63 на вирустотале без всяких сомнений идёт в ту же бочку куда идут большинство кейгенов, кряков и присылаемой по почте хрени - т.е. если ОЧЕНЬ НАДО, то будет запускаться в песочнице - с полным откатом системы после её работы. И ни разу не будет считаться нормальной программой. Хочешь чтобы к твоему ПО было такое отношение - да бога ради, кто ж запрещает то ------------------ WBR, Igor |
© 2000-2024 Fox Club  |