В начале заметил, что мои проекты периодически на флешке определяются как вирус. В основном на компах где стоят всякие бесплатные антивирусы типа 360 Total Security. Вначале меня это не напрягало доставал файл из карантина и работал дальше. Потом стало интересно а почему детекты, что то не так в коде? Может я использую какие то опасные библиотеки или функции. Собрал пустой файл в Visual Studio 2015, где ничего нет кроме функции main, и выбрал библиотека выполнения Multi-Threaded (/MT), само собой чтобы, не требовалась установленная Visual Studio. И в итоге получил 11- 12 детектов на virustotal. Все антивирусы просто взбесились от этого файла. Это меня очень удивило. Попробовал всякие эксперименты с секциями . Если произвольно удалить или слить например секцию .reloс, то количество детектов снижается на 2 -3. В чем прикол? Откуда и по какой причине берутся детекты?

| Сообщение посчитали полезным:

Наверно в настоящее время все что не известно антивирусу - детект. Раньше было наоборот - детект то, что вирус и в базе есть как вирус. ИМХО.

| Сообщение посчитали полезным:

ссылку на вт можно глянуть что они там находят)

| Сообщение посчитали полезным:

Эвристика такая эвристика. Но что-то я у себя такой траблы не замечал. Может быть в более платных продуктах более развита нейросеть и отпечатки, для того чтоб не было фейк-детектов. Пропробуйте использовать их.

| Сообщение посчитали полезным:

zombi-vadim

Это факав детекты. Зависящие от фазы луны.

-----
vx

| Сообщение посчитали полезным: -=AkaBOSS=-

zombi-vadim пишет:
антивирусы типа 360 Total Security
перестаньте называть антивирусом тормозное параноидальное г**но.
галимее этой фигни разве что кypaнинcкaя поделка. и то - не факт.

вот например:
Avira (no cloud) TR/Crypt.XPACK.Gen
CAT-QuickHeal (Suspicious) - DNAScan
Endgame malicious (high confidence)
Invincea trojan.win32.swrort.a
Qihoo-360 HEUR/QVM20.1.0000.Malware.Gen

test.exe

страх и ужас, мрак и жесть...
а ведь там фактически нет никакого кода - просто мессаджбокс.
единственный подвох в порядке секций, но некоторые и в этом видят злобного трояна

вообще не понимаю, за какие заслуги на вирустотале показывают результаты "анализа" этих "антивирусов". статистика использования? дык ими и пользуются-то только те, кто по 3-4 антивиря на комп устанавливают по невнимательности.

| Сообщение посчитали полезным:

Так чуваки занимаются этим.
Это пиар ресурса, и вполне успешный.

Если детектит DrWeb и Avira, можно попытаться что-то с файлом сделать (но тоже, без фанатизма. Пускай у них задница и чешется),
на все остальные "сканеры" можно смело не обращать внимания имхо.

Единственная трабла, что будут выложенную раздачу засирать воплями "посоны никочайте там вирус", но то можно просто терпеливо тереть, а истеричек в бан къедренефене. Оно и чище будет, заодно.



| Сообщение посчитали полезным:

Да что вы понимаете это высокоинтеллектуальная эвристика

-----
Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли.

| Сообщение посчитали полезным:

ClockMan пишет:
Да что вы понимаете это высокоинтеллектуальная эвристика

Абсолютно.

| Сообщение посчитали полезным:

Эвристика не так работает, а когда она работает, то это очевидно.
Проверять нужно на норм сервисах, обычно это делают на платных. Из бесплатных норм этот --> Link <--
Ну а VT это ловушка для сбора семплов, там факав большинство.

-----
vx

| Сообщение посчитали полезным:

А по сути если пишете код, то не советую отклонятся от норм программирования
1. Не используйте быстрое кодирование(асм, вставки и тому подобное).
2. Не делать прямых вызовов NT айпишок, а вызывать через GetProcAddress
3. Нив коем случае не упаковывать файл всякими пакерами даже безобидным UPX
вероятность детекта уменьшится в разы
упс забыл про 4 й пункт подписать свой файл цифровой подписью тогда это будет воротами в РАЙ

-----
Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли.

| Сообщение посчитали полезным:

ClockMan

Да, сейчас авер определяет формат кода. Под него нужно подстраиваться, что бы не было фейковых детектов фейкового авера. Вот только это важно для чёрных дел.

А есчо можно части авера им же проверить, ну ради развлекухи

-----
vx

| Сообщение посчитали полезным:

zombi-vadim
при /MD не было детекта
при /MT сразу при компиляции орёт Avast
нашёл на stackoverflow совет, мне помогло.
"C/C++ > Code Generation > Buffer Security Check"
No (/GS)

| Сообщение посчитали полезным:

ClockMan пишет:
3. Нив коем случае не упаковывать файл всякими пакерами даже безобидным UPX

Ну, UPX-то, вроде, не сильно добавляет вероятности херовничания "сканеров"

ClockMan пишет:
пс забыл про 4 й пункт подписать свой файл цифровой подписью тогда это будет воротами в РАЙ

Ото, походу, как бы оно таким раем всё и не закончилось. С драйверами уже определённый напряг присутствует.



| Сообщение посчитали полезным:

Сейчас авер слишком хитрый(который не фейк). Я когда недавно статью пилил каспер на всех бесплатных сервисах сбивал детекты - после нескольких тестов запоминал и не детектил больше

-----
vx

| Сообщение посчитали полезным:

ClockMan пишет:
упс забыл про 4 й пункт подписать свой файл цифровой подписью тогда это будет воротами в РАЙ Вот провел ради интереса эксперимент. Берем файл с цифровой подписью, например Skype.exe. заливаем какую нибудь секцию нулями, цифровая подпись становится не действительной. Заливаем на VT, 0 срабатываний. Отхерячиваем вообще подпись от файла. Заливаем на VT, 0 срабатываний.

| Сообщение посчитали полезным:

zombi-vadim пишет:
Берем файл с цифровой подписью, например Skype.exe. заливаем какую нибудь секцию нулями, цифровая подпись становится не действительной. Заливаем на VT, 0 срабатываний. Отхерячиваем вообще подпись от файла. Заливаем на VT, 0 срабатываний.

Наверное, тут обратная взаимосвязь.
Если файл "подозрительный", но имеет валидную "подпись", тогда "на него ругаться не нужно".
А в этом случае просто не было поводов для ругани.
Хотя, может быть, в дальнейшем они и добавят ругань на файлы с "нарушенной подписью" или вообще без таковой.
Ото и будет рай..

Сейчас можно, в порядке троллинга, подсобрать файлов с валидными подписями,
поотрезать от них все оверлеи и прогнать каждый через VT.
После повторить операцию для исходных целых файлов.
Теоретически, могут и различия в результатах "сканирования" обнаружиться.



| Сообщение посчитали полезным:

dosprog пишет:
Сейчас можно, в порядке троллинга, подсобрать файлов с валидными подписями,
поотрезать от них все оверлеи и прогнать каждый через VT.
После повторить операцию для исходных целых файлов.
Теоретически, могут и различия в результатах "сканирования" обнаружиться.
Я так думаю детекты берутся при автоматическом анализе файла, согласно какому то алгоритму или на VT сидит группа ботанов которые ковыряют каждый файл и смотрят ага это файл пусть детектится у нас на сервисе для интереса!

| Сообщение посчитали полезным:

Так автоматом, да.
А потом ботанов напрягают в этом твоём файлЕ ковыряться, да.
Прикинь, как они недовольны



| Сообщение посчитали полезным:

dosprog пишет:
А потом ботанов напрягают в этом твоём файлЕ ковыряться, да. Я так думаю это просто ваше личное мнение. Ну не могут же они расковырять все файлы которые заливаются им на сервис, их огромное количество! И потом расковырял ты файл увидел что он безопасный почему не снять с него детекты?

| Сообщение посчитали полезным:

В аверских конторах целый штат тех, кто отдельные бинарники ресерчит и пишет маны, по которым уже составляются базы.Там достаточное кол-во людей этим занято.После детектирования апдейтится база тотала и усе.Обратная связь у аверов и тотала есть и всегда была.

dosprog пишет:
Если файл "подозрительный", но имеет валидную "подпись", тогда "на него ругаться не нужно".
Это вайтлистом называется.Проще составить список разрешенных по определенным признакам, чем тащить километр кода с блэклистом.Плюс ко всему какой-нибудь сраный школьник, который ссыт запустить твой бинарь, зальет его на тотал и если аверам не понравится твой продукт, основанный на реверсе проприетарных технологий, то они его пометят особым образом.Предвзятость здесь, безусловно, имеет место быть.Бабки отвалишь - не будет детектить.Енто ж бизнес.

-----
TEST YOUR MIGHT

| Сообщение посчитали полезным:

zombi-vadim пишет:
И потом расковырял ты файл увидел что он безопасный почему не снять с него детекты?

До такого состояния, чтобы можно было что-то утверждать на 100%, всё равно проплывающее файло никто раскручивать не будет.
Кроме того, там на VT имеются две кнопки "ЗА" и "ПРОТИВ" детекчения конкретного файла.
Вроде отказа от ответственности за выданный результат.

В общем, выгодная тема. Можно брать за барки мнительных производителей софта.



| Сообщение посчитали полезным:

Представляю , как дерматолог дрючит все аверские компании . О суммах , которые они откатывают , вообще страшно говорить )

| Сообщение посчитали полезным:

dosprog пишет:
Хотя, может быть, в дальнейшем они и добавят ругань на файлы с "нарушенной подписью" или вообще без таковой.
Если вы не заметили, то ваш кошмар уже давно стал реальностью, в лице замечательного UAC. Если ваш файл подписан, то выскакивает синее окошко в котором спрашивают, а не хотите ли вы запустить эту замечательную программу, написанную замечательным издателем? А если не подписан то выскочет желтое окошко, где вас спросят а не хотите ли вы запустить непонятную херь, где вы ее взяли только, и написана она непонятно кем в общем гадость какая то, у себя на компьютере. И сдается мне это и есть ее задача, выкачать бабки с производителя, что бы желтое окошко поменять на синее. А ативирусам вообще по большему счету пофиг она.

Добавлено спустя -51 минут
ClockMan пишет:
А по сути если пишете код, то не советую отклонятся от норм программирования Ваш совет хорош когда код есть, а когда кода нет, а 11 детектов есть, то думаю стоит задуматься, что не так. И почему чем больше я в настройках линковщика отключаю всяких защит, которых в студии наштамповали великое множество, то тем меньше становится детектов. Отсюда два варианта, либо чем больше файл не похож на собранный по умолчанию, тем лучше значит это не вирус (непонятно откуда такая логика). Либо все таки линковщик добавляет какую то гадость в файл, что беспокоит алгоритмы антивирусов.

| Сообщение посчитали полезным:

zombi-vadim

Для ав всякие массивы/битмапы это зло. Так как по дефолту понимается что это криптованный код. При включении разных защит в модуль добавляется соответствующая инфа, массивы всякие. Это становится подозрительным.

-----
vx

| Сообщение посчитали полезным:

dosprog пишет:
Сейчас можно, в порядке троллинга, подсобрать файлов с валидными подписями,
поотрезать от них все оверлеи и прогнать каждый через VT.
После повторить операцию для исходных целых файлов.
Теоретически, могут и различия в результатах "сканирования" обнаружиться.
Я пару лет назад провёл обратную операцию. Взял старый добрый Conficker, который каждая собака знает, подписал его отозванной и просроченной подписью. И Panda Antivirus перестал его детектировать.

| Сообщение посчитали полезным:

Dart Raiden пишет:
Я пару лет назад провёл обратную операцию. Взял старый добрый Conficker, который каждая собака знает, подписал его отозванной и просроченной подписью. И Panda Antivirus перестал его детектировать.
Я на той неделе цапнул срань, которая ни одним авером не детектилась и срала в браузер адварью, прописавшись в

В составе всей малварной погани файлы имели комодошную цифровую подпись.Пролечено было руками, а при повторном "намеренном" заражении его только SpyHunter задетектил.И знаете что самое смешное ? Пока спайхантер сканил системный раздел, то виндадефендор удалил мне бинарь вмпротекта и еще какого-то интересного коммерческого софта.Т.е. виндадефендор так явно намекнул, что сам по себе он гуано, хотя это итак понятно.Стоит чисто для галки.Скиплист у него есть, исключения отож, так что файлы были восстановлены.

zombi-vadim пишет:
ваш кошмар уже давно стал реальностью, в лице замечательного UAC.
Уак и смартскрин пробиваются, так же как и пробиваются службы.Уак можно полностью вырубить.Я даже статью на этот счет накидал в бложике.

-----
TEST YOUR MIGHT

| Сообщение посчитали полезным:

unknownproject
нечего скромничать, ссылка на бложик не помешает!

| Сообщение посчитали полезным: ARCHANGEL

parfetka пишет:
нечего скромничать, ссылка на бложик не помешает!
--> Link <--

-----
TEST YOUR MIGHT

| Сообщение посчитали полезным:

Матчасть по теме, может кому интересно, хотя врядле..

--> Link <--
--> Link <--

-----
vx

| Сообщение посчитали полезным: