Столкнулся с такой проблемой (сабж). Суть программы в том, что она меняет структуру таблиц файлов DBF по следующему алгоритму:
1. Копирует все файлы *.DBF в подпапку OLD_DATA
2. Программно создает новые DBFки с теми же именами, что и были ранее в этой папке
3. В цикле при помощи команды APPEND FROM ... данные из старых DBF добавляются в новые (только что созданные)

Сама программа конвертера оформлена в виде файла CNV.EXE и автоматически запускается при появлении новой версии другой программы.

Проблема в том, что за последний месяц почти все антивирусы (особенно DrWEB) стали блокировать выполнение файла CNV.EXE определяя его как вирус шифровальщик. И я запарился восстанавливать пользователям данные и в ручную их конвертировать. Да и пользователям такой геморой не нужен.

Как уйти от этого? Как поменять алгоритм, что бы не сталкиваться с паранойей антивируса?

P.S1. Вариант с занесением программы в исключения прошу не предлагать
P.S2. В DrWEB написал в техподдержку, попросили файлы логов. Отправил. На этом дело и закончилось.



Исправлено 1 раз(а). Последнее : Sega, 05.07.17 12:17

добавить папку с программой в исключения антивируса

Vladimir Sklyar
добавить папку с программой в исключения антивируса

Спасибо, но я ранее писал, что этот вариант исключен на 100%

CNV.EXE - защищён DeFox-ом?

PaulWist
CNV.EXE - защищён DeFox-ом?

Да, защищен Refox'oм. Вот выдержка из MAK-файла

Цитата:

file CNV.EXE
pwd $блаблабла$
brand 2

Исправлено 1 раз(а). Последнее : Sega, 05.07.17 12:33

Sega
P.S2. В DrWEB написал в техподдержку, попросили файлы логов. Отправил. На этом дело и закончилось.

Надо было в спортлото написать - тогда шансов на ответ было бы больше.

Я обращался в техподдержку DrWeb несколько раз. Всегда решали проблему. Но с шифровальщиком, видать, дело непростое...

Так уровень 2 или 2+? Для уровня 2 потребуется подменять файлы рантайма на модифицированные...

Защита же рефокса 2+ меняет уже загруженный в память фоксовый рантайм, потому запросто может распознаваться эвристикой антивируса как потенциально опасная. Дефокс, кстати, тоже это делает, ещё и запуск динамически созданного машинного кода и антиотладочные приёмы использует - для него риск попасть под каток эвристики антивируса ещё больше...

Вообще не понимаю смысла в этих защитах, тем более сегодня... Убери защиту и я полагаю все вопросы тут же снимутся сами собой

Igor Korolyov
Убери защиту и я полагаю все вопросы тут же снимутся сами собой

Раньше помнится только Касперский убивал послерефоксовское, паразит такой.
Последнее время кстати наблюдаю все большее охреневание уже сплошь всех антивирусов. Даже скромный прежде доктор стал периодически мучить подвисами в самых неожиданных местах. Видимо не так давно хорошо накачался обновился.

Sega
Да, защищен Refox'oм.

Кстати фокс можно паковать еще и MoleBox-ом. Вроде на него никто не ругается. Есть только некоторые нюансы для русских систем, жаль похоже проект заброшен, уже не исправят видимо. Не знаю правда по его криптозащищенности, но думаю не намного ниже рефокса. Для большинства уж точно черный ящик.
Ну а для истинного хакера и рефокс не проблема. ;)

А какой-нибудь Themida или VMProtect можно запаковать фоксовый экзе?

Можно, но зачем?

Без понятия)

Crispy
фокс можно паковать еще и MoleBox-ом. Вроде на него никто не ругается.

Никто не использует, вот никто и не ругался

По сути любой "защищальщик" такого рода является потенциальной жертвой антивируса. Антивирус не может проверить "содержимое" (на то она и защита), и в своей базе "доверенных приложений" наверняка твоей утилиты не будет (особенно если она ещё и обновляется чаще раза в пятилетку), чтобы её WhiteList-ить - так что он совершенно спокойно вырубит это "непойми что". И хоть я и противник любых АВ, но в данном вопросе с ними буду солидарен. На кой чёрт мне ПО которое невозможно проверить - ни вручную, ни программно, теми же эвристиками АВ

И, кстати, чисто для проформы - любая защита фоксового ПО НЕ влазящая в его рантайм, при том желательно "понадёжнее", ещё и бесполезна. Т.к. путём инъекции несложного кода практически любая защищённая любым таким "навесным" защищальщиком программа бодро и с песнями сливает всё своё содержимое в совершенно открытом виде во внешние файлики...

Коллеги спасибо.
Попробую пока убрать с файлов защиту Рефоксом.

Igor Korolyov

Crispy
фокс можно паковать еще и MoleBox-ом. Вроде на него никто не ругается.

Никто не использует, вот никто и не ругался

Ну почему, я пробовал. Вот сам глянь например: www.virustotal.com
Только китайцы всякие бестолковые что-то пишут. Хотя некоторые вроде пресловутого Комода, таки опознают при этом, что молебокс.
Ни один же из серьезных антивирусников даже не поморщился.
Вообще молебокс ничего страшного не делает, это по сути простой упаковщик с паролем, в отличие от того же рефокса, которые пытается шифровать собственно фоксовский код.
Ну и понятно разумеется, как выше я кстати уже и говорил, что для серьезного хака нет проблем ни с рефоксом, ни с дефоксом, ни с чем-то другим.
И вопрос защиты всегда упирается лишь в стоимость ее снятия.

13 из 63-х, ТРИНАДЦАТЬ, Карл! И это "никто не ругается"

Я бы гарантированно не стал запускать вне виртуальной песочницы даже то что имеет всего пару детектов на вирустотале.
Практически все АВ представленные на вирустотале одинаково "серьёзны" (и примерно одинаково вредны).
Рефокс "шифрует фоксовый код" ровно в той же самой степени, как его шифрует СОБСТВЕННО сам фокс при установлении галочки "Encrypt". Он лишь слегка меняет то что можно назвать "ключом шифрования". Ну и плюс к тому дописывает небольшой "мусор" по которому он сам себя (свой серийный номер) и опознает.
Проблема с АВ возникает лишь потому что в новых версиях он стал не таким "дубовым", и вместо требования таскать модифицированный фоксовый рантайм (vfpXr.dll) - в котором он и поменял то всего пару десятков байт - он проводит эти изменения "на лету".

Если против "серьёзного хака" рефокс весьма слаб (есть инструменты автоматически снимающие его "защиту"), дефокс уже на порядок сложнее (но "вручную" вполне поддаётся взлому), то всякие молебоксы и прочие "навесные" защиты ВООБЩЕ "никакие". Дампер даже знать не будет про то что там есть какая-то защита
Т.е. проку от их "защиты" ровно 0. И использовать их можно разве что для "удобства упаковки" - не 10 файлов у клиента держать а всего один. Я бы сказал что это смехотворное "преимущество" - но кому-то, возможно, оно и полезно...
Конечно, если "совместить" молебокс с тем же рефоксом (в нём уже есть некоторые методы защиты от дамперов) то получится чуть более приемлемая защита...

Только пользоваться утилитой дающей 13 срабатываний на вирустотале... Это надо быть особо упоротым фанатом сего продукта

Igor Korolyov
13 из 63-х, ТРИНАДЦАТЬ

Ты вот только честно скажи - ты про эти 13 когда-то слышал?
Кроме Комоды думаю их даже найти не так просто. А уж Комода - такая гадость эта заливная рыба, что народ ее тоже не особо любит, ни у кого не встречал. Пытался когда-то ставить людям из-за бесплатности, но они через пару дней попросили удалить. Разорились купили доктора в итоге.

Crispy

Igor Korolyov
13 из 63-х, ТРИНАДЦАТЬ

Ты вот только честно скажи - ты про эти 13 когда-то слышал?
Кроме Комоды думаю их даже найти не так просто. А уж Комода - такая гадость эта заливная рыба, что народ ее тоже не особо любит, ни у кого не встречал. Пытался когда-то ставить людям из-за бесплатности, но они через пару дней попросили удалить. Разорились купили доктора в итоге.

Не поверю, что кроме Comodo ты не слышал хотя бы про ESET NOD32 и Panda, на слуху также F-Prot, Cyren, Zillya. Кстати, Comodo Internet Security очень даже мощная вещь, если "правильно готовить". Просто настроек уйма, а это отпугивает 90% пользователей.

ry

Да речь не об этом. Просто я привел пример, если провести параллели, это как если бы скажем в решении важных международных вопросов прислушивались к мнению какой-нибудь Гонолупы.
Поскольку есть как бы признанные антивирусы - некая "большая семерка", которые реально идут везде в первых строчках рейтингов. Бывает и они ошибаются, например как в отношении темы данного топика - переусердствуя в излишнем рвении.
Но отнюдь не в том, чтобы не обнаруживать реальную угрозу!
Т.е. истории не известен случай, чтобы Касперский на пару с доктором лоханулись, а какая-нибудь Панда нет! ;)
Наоборот же - сколько угодно. Поэтому доверять всей этой китайской шатии-братии, даже Комоду с Пандой, не доверяя при этом хотя бы Касперу с доктором, а как видно из приведенной мною таблицы, они (а также еще несколько признанных гигантов) ничего не обнаруживают - это как бы признак дурного тона.
Ну или как минимум - подростковое упрямство.





Исправлено 1 раз(а). Последнее : Crispy, 07.07.17 18:14

Вся эта хрень ни разу не помогает ламерам не нахватать всякого г*на в сети. Поэтому считать одни АВ "признанными" а другие какими-то "левыми" у меня нет решительно никаких оснований.

И ещё раз - вопрос не в том какими АВ я пользуюсь или каким доверяю (таковых нет, если ты ещё не в курсе). Всё дело в том, что программа выдающая 13/63 на вирустотале без всяких сомнений идёт в ту же бочку куда идут большинство кейгенов, кряков и присылаемой по почте хрени - т.е. если ОЧЕНЬ НАДО, то будет запускаться в песочнице - с полным откатом системы после её работы. И ни разу не будет считаться нормальной программой.

Хочешь чтобы к твоему ПО было такое отношение - да бога ради, кто ж запрещает то