Здравствуйте, KARPOLAN, Вы писали:
KAR>Ну реально они задолбали KAR>Сбилдил на Delphi 7 новый релиз фриварки, по приколу решил проверить, так на virustotal.com уже 2 детекшена... KAR>P.S. Вы как часто мониторите virustotal.com и подобное? Какая-то автоматизация для этого есть?
На всякое г@вно типа ClamAV или McAfee я бы не обращал внимания.
Здравствуйте, user42, Вы писали:
V>>На всякое г@вно типа ClamAV или McAfee я бы не обращал внимания. U>Я тоже не обращал, пока абузы хетзнерам не начали слать, обьясняющие что именно вот этот-то антивирус очень важен...
Какой — ClamAV?
KAR>>P.S. Вы как часто мониторите virustotal.com и подобное? Какая-то автоматизация для этого есть?
V>На всякое г@вно типа ClamAV или McAfee я бы не обращал внимания.
Юзеры вопят. Даже если екзкшник тихо блокируются сразу после инстала — народ решает что прога не рабочая и пишут гневные каменты под обзорами и в социальках...
V>>>На всякое г@вно типа ClamAV или McAfee я бы не обращал внимания. U>>Я тоже не обращал, пока абузы хетзнерам не начали слать, обьясняющие что именно вот этот-то антивирус очень важен... V>Какой — ClamAV?
Да я не помню точно уже, их штук 5 было в списке, и всех их я почти первый раз слышал. Когда пришла нная абуза, попросил
помошницу разобраться куда писать о ложном срабатывании и написать, после вроде, тфу-тфу абуз не было.
V>>>На всякое г@вно типа ClamAV или McAfee я бы не обращал внимания. U>>Я тоже не обращал, пока абузы хетзнерам не начали слать, обьясняющие что именно вот этот-то антивирус очень важен... V>Какой — ClamAV?
McAfee, они даже сайт заблочить в Гугле легко могут...
Перед релизом проверяю только майкрософтовсим бесплатным.
Всё равно любому антивирусу в голову может стукнуть всё что угодно. Уже несколько раз было, что на вирус тотале всё ок, а тот же нортон у клиента ругается — шлёт скриншот. Сами нортоновцы могут говорить что проблем с файлом нет.
Один раз после письма пользователя поменял батник собирания инсталлера, подписал вообще всё что можно (все дллки, даже те что чисто с ресурсами)- антивирус перестал ругаться...
Кто то раньше здесь давал контакты большинства антивир. компаний.
где то проскакивала инфа, что после проверки на вирус тотале некоторые другие антивирусники стали тоже ругаться. Типа некоторые антивируски инфу вытягивают о новых "вирусах" и подтягивают себе сигнатуру. Хз правда или нет это
KAR>Сбилдил на Delphi 7 новый релиз фриварки, по приколу решил проверить, так на virustotal.com уже 2 детекшена...
KAR>P.S. Вы как часто мониторите virustotal.com и подобное? Какая-то автоматизация для этого есть?
Здравствуйте, KARPOLAN, Вы писали:
KAR>>>P.S. Вы как часто мониторите virustotal.com и подобное? Какая-то автоматизация для этого есть?
V>>На всякое г@вно типа ClamAV или McAfee я бы не обращал внимания.
KAR>Юзеры вопят. Даже если екзкшник тихо блокируются сразу после инстала — народ решает что прога не рабочая и пишут гневные каменты под обзорами и в социальках...
KAR>В общем на енд-юзер рынке реально трабла
Я согласен, что аверы реально з@трахали — многие фолсят ваще на примитивнейший код, не говоря уже про всякие там упаковки и т.п. Электронная подпись иногда помогает, но некоторым и на неё пофиг.
Что остается?
1. Подавать коллективный иск в суд? ИМХО это очень долго и скорее всего юристы аверов повернут все с ног на голову.
2. Агитировать пользователей НЕ ставить всякое г@вно? На сайте будет выглядеть наоборот как реклама всякого г@вна
3. Можно специально детектить наличие некоторых антивирусов в самой программе и орать пользователю чтобы он снес эту хрень. ИМХО никто не такое не пойдет
4. Набрать группу антивирусов и искать дыры в самих движках и использовать эти дыры уже в дальнейшем. Зная какой там творится ахтунг — можно накопать много всего интересного.
Здравствуйте, Qa1888, Вы писали:
Q>где то проскакивала инфа, что после проверки на вирус тотале некоторые другие антивирусники стали тоже ругаться. Типа некоторые антивируски инфу вытягивают о новых "вирусах" и подтягивают себе сигнатуру. Хз правда или нет это
Это лаборанты касперского проводили такой эксперимент, многие аверы на них за это обиделись
Здравствуйте, drVanо, Вы писали:
V>Здравствуйте, KARPOLAN, Вы писали:
KAR>>>>P.S. Вы как часто мониторите virustotal.com и подобное? Какая-то автоматизация для этого есть?
V>>>На всякое г@вно типа ClamAV или McAfee я бы не обращал внимания.
KAR>>Юзеры вопят. Даже если екзкшник тихо блокируются сразу после инстала — народ решает что прога не рабочая и пишут гневные каменты под обзорами и в социальках...
KAR>>В общем на енд-юзер рынке реально трабла
V>Я согласен, что аверы реально з@трахали — многие фолсят ваще на примитивнейший код, не говоря уже про всякие там упаковки и т.п. Электронная подпись иногда помогает, но некоторым и на неё пофиг. V>Что остается? V>1. Подавать коллективный иск в суд? ИМХО это очень долго и скорее всего юристы аверов повернут все с ног на голову. V>2. Агитировать пользователей НЕ ставить всякое г@вно? На сайте будет выглядеть наоборот как реклама всякого г@вна V>3. Можно специально детектить наличие некоторых антивирусов в самой программе и орать пользователю чтобы он снес эту хрень. ИМХО никто не такое не пойдет V>4. Набрать группу антивирусов и искать дыры в самих движках и использовать эти дыры уже в дальнейшем. Зная какой там творится ахтунг — можно накопать много всего интересного.
Недавно в России был принят закон позволяющий привлекать за клевету.
Пользуйтесь Привлекайте к ответственности антивирусо-писателей которые лже-клевещут на ваши программы.
Здравствуйте, autopsist, Вы писали:
A>Недавно в России был принят закон позволяющий привлекать за клевету. A>Пользуйтесь Привлекайте к ответственности антивирусо-писателей которые лже-клевещут на ваши программы.
Хорошо, а что делать с зарубежными антивирусами? В основном фолсят как раз они.
A>>Недавно в России был принят закон позволяющий привлекать за клевету. A>>Пользуйтесь Привлекайте к ответственности антивирусо-писателей которые лже-клевещут на ваши программы.
V>Хорошо, а что делать с зарубежными антивирусами? В основном фолсят как раз они.
Заманивать в гости и на коференции, а потом сдавать в поликлинику, для опытов!
Здравствуйте, drVanо, Вы писали:
V>1. Подавать коллективный иск в суд? ИМХО это очень долго и скорее всего юристы аверов повернут все с ног на голову.
на основании какого закона?
V>2. Агитировать пользователей НЕ ставить всякое г@вно? На сайте будет выглядеть наоборот как реклама всякого г@вна
написать нормальную инструкцию как действовать в случае ошибочного срабатывания разных антивирусов, подтвердив наличие проблемы.
V>3. Можно специально детектить наличие некоторых антивирусов в самой программе и орать пользователю чтобы он снес эту хрень. ИМХО никто не такое не пойдет
антивирус проверяет файл еще до запуска. и орать будет он.
V>4. Набрать группу антивирусов и искать дыры в самих движках и использовать эти дыры уже в дальнейшем. V>Зная какой там творится ахтунг — можно накопать много всего интересного.
этим вы окажете пользу антивирусной индустрии, т.к. дыры они пофиксят, а за проделанную вами работу по их поиску вам никто не заплатит.
я вот тут обнаружил, что мой заброшенный сайт перестал открываться. выяснил -- какой-то промежуточный узел заблокировал IP, который на шаред хостинге. поиск по иннету показал, что кто-то с этого IP распространял малварь. переход на выделенный IP решил проблему. но IP берется из пула. а хакеры покупают IP, юзают, а потом отдают. а их уже могут заблокировать. и потому покупка IP ничего не гарантирует.
что делать с антивирусами? писать под мак. под нем антивиурсы мало кто ставит... кстати, подруга установила нода и не смогла поставить фотошоп. он тупо вис при инсталляции. снесли нода -- все стало с пол-пинка.
americans fought a war for a freedom. another one to end slavery. so, what do some of them choose to do with their freedom? become slaves.
Здравствуйте, мыщъх, Вы писали:
М>что делать с антивирусами? писать под мак. под нем антивиурсы мало кто ставит... кстати, подруга установила нода и не смогла поставить фотошоп. он тупо вис при инсталляции. снесли нода -- все стало с пол-пинка.
Т.е. даже ты признаешь, что антивирусы — это такой большой и дорогой лохотрон.
Здравствуйте, icezone, Вы писали:
I>Т.е. даже ты признаешь, что антивирусы — это такой большой и дорогой лохотрон.
Лохотрон лохотроном, но без антивируса на рабочем компьютере нельзя. Так как последствия попадания реального вируса в ваш дистрибутив могут быть очень неприятными.
Здравствуйте, icezone, Вы писали:
I>Здравствуйте, мыщъх, Вы писали:
I>Т.е. даже ты признаешь, что антивирусы — это такой большой и дорогой лохотрон.
дорогой? ms бесплатный и доброкачественный. антивирусы являются сдерживающим фактором, препятствующих распространению малвари. это как милиция. если вас обчистили, то писать заявление смысла нет. скорее всего ничего не найдут. но если вообще без милиции, то преступности будет гораздо больше. и потому приходится мириться с тем, что милицейские берут взятки и занимаются поборами. аналогия грубая, но как-то так.
лохотрон это FakeAV. их сейчас много. это чистый развод на бабки.
другой вопрос, что реклама антивирусов (как и всякая реклама) это брехня.
ЗЫ. что значит "даже ты"? я антивирусы не разрабатываю. то есть разрабатываю, но не антивирусы, а IPS/IDS. причем, оно хоть и IPS, но практически все используют режим IDS (и вы догадываетесь почему)
americans fought a war for a freedom. another one to end slavery. so, what do some of them choose to do with their freedom? become slaves.
Здравствуйте, Matrix_Failure, Вы писали:
M_F>Лохотрон лохотроном, но без антивируса на рабочем компьютере нельзя. Так как последствия попадания реального вируса в ваш дистрибутив могут быть очень неприятными.
Вероятность попадания реального вируса на компьютер никак не зависит от наличия антивируса. Проверено неоднократно.
Здравствуйте, мыщъх, Вы писали:
М>дорогой? ms бесплатный и доброкачественный.
Но кусок пирога все-равно жирный.
М>лохотрон это FakeAV. их сейчас много. это чистый развод на бабки.
А чем от них отличаются реальные антивирусы? Свежак они пропускают, чистые программы детектят как вирусы.
От фейковых антивирусов хоть вреда нет — они не выдают фелсов.
М>другой вопрос, что реклама антивирусов (как и всякая реклама) это брехня.
Это же каким надо быть маркетологом, чтобы продавать софт, который мешает работать и при этом не гарантирует никакой защиты!
М>ЗЫ. что значит "даже ты"? я антивирусы не разрабатываю. то есть разрабатываю, но не антивирусы, а IPS/IDS. причем, оно хоть и IPS, но практически все используют режим IDS (и вы догадываетесь почему)
Ничего личного. Ключевое слово McAfee. Они тут как красная тряпка.
Здравствуйте, мыщъх, Вы писали:
V>>1. Подавать коллективный иск в суд? ИМХО это очень долго и скорее всего юристы аверов повернут все с ног на голову. М>на основании какого закона?
Я не юрист, но при желании можно накопать.
V>>2. Агитировать пользователей НЕ ставить всякое г@вно? На сайте будет выглядеть наоборот как реклама всякого г@вна М>написать нормальную инструкцию как действовать в случае ошибочного срабатывания разных антивирусов, подтвердив наличие проблемы.
А, ну да. Написать нормальный антивирус — это конечно не ваш вариант.
V>>3. Можно специально детектить наличие некоторых антивирусов в самой программе и орать пользователю чтобы он снес эту хрень. ИМХО никто не такое не пойдет М>антивирус проверяет файл еще до запуска. и орать будет он.
Я при желании могу засунуть такое сообщение во все свои программы, даже которые не фолсятся. Ы?
V>>4. Набрать группу антивирусов и искать дыры в самих движках и использовать эти дыры уже в дальнейшем. V>>Зная какой там творится ахтунг — можно накопать много всего интересного. М>этим вы окажете пользу антивирусной индустрии, т.к. дыры они пофиксят, а за проделанную вами работу по их поиску вам никто не заплатит.
Найденные дыры можно использовать вообще как угодно и совсем необязательно сообщать о них разрабам.
М>что делать с антивирусами? писать под мак. под нем антивиурсы мало кто ставит... кстати, подруга установила нода и не смогла поставить фотошоп. он тупо вис при инсталляции. снесли нода -- все стало с пол-пинка.
А антивирусы от McAfee валят компьютеры тысячами. Действительно — зачем они нужны?
Здравствуйте, icezone, Вы писали:
I>Здравствуйте, мыщъх, Вы писали:
М>>дорогой? ms бесплатный и доброкачественный. I>Но кусок пирога все-равно жирный.
у касперского есть бесплатный сканер, да и у многих других.
М>>лохотрон это FakeAV. их сейчас много. это чистый развод на бабки. I>А чем от них отличаются реальные антивирусы? Свежак они пропускают, чистые программы детектят как вирусы.
фековые антивирусы делают работу системы нестабильной (вплоть до полной неработоспособности) и ставят себя сами против воли пользователя. а многие еще и деньги крадут. причем, удалить их из системы очень непросто.
I>От фейковых антивирусов хоть вреда нет — они не выдают фелсов.
да что вы говорите. они как раз выдают кучу фэлсов.
М>>другой вопрос, что реклама антивирусов (как и всякая реклама) это брехня. I>Это же каким надо быть маркетологом, чтобы продавать софт, I>который мешает работать и при этом не гарантирует никакой защиты!
антивирусы отличаются от того же офиса тем, что любой человек может заценить офис и сравнить с конкурентами. а как юзер заценит антивирус?
I>Ничего личного. Ключевое слово McAfee. Они тут как красная тряпка.
я уже давно не в McAfee.
americans fought a war for a freedom. another one to end slavery. so, what do some of them choose to do with their freedom? become slaves.
Здравствуйте, мыщъх, Вы писали:
М>у касперского есть бесплатный сканер, да и у многих других.
Ну мы же понимаем, что он нужен для продвижения платных продуктов.
М>фековые антивирусы делают работу системы нестабильной (вплоть до полной неработоспособности) и ставят себя сами против воли пользователя. а многие еще и деньги крадут. причем, удалить их из системы очень непросто.
Так и настоящие приводят к нестабильности. Ты же сам привел пример, что реальный антивирус не давал установить Фотошоп.
Деньги они тоже крадут каждый месяц на продление подписки.
М>да что вы говорите. они как раз выдают кучу фэлсов.
У них выдуманные фелсы, они не на мои программы указывают.
М>антивирусы отличаются от того же офиса тем, что любой человек может заценить офис и сравнить с конкурентами. а как юзер заценит антивирус?
Кто больше соврет, тот больше продаст.
М>я уже давно не в McAfee.
Здравствуйте, drVanо, Вы писали:
V>Здравствуйте, мыщъх, Вы писали:
М>>на основании какого закона? V>Я не юрист, но при желании можно накопать.
нет такого закона. так что сначала этот закон еще нужно принять (в отдельно взятой стране).
V>А, ну да. Написать нормальный антивирус — это конечно не ваш вариант.
антивирус -- это сложная система. от движка до сигнатур. причины фэлсов могут быть и в том, и в другом. если двиг слабый, то он не позволяет написать качественную сигнатуру в силу тех или иных ограничений. попытка усовершенствовать двиг ведет к усложнению языка описания сигнатур и негде брать тех, кто эти сигнатуры напишет. банально не хватает людей.
М>>антивирус проверяет файл еще до запуска. и орать будет он. V>Я при желании могу засунуть такое сообщение во все свои программы, даже которые не фолсятся. Ы?
после того, как вы будете манипулировать антивирусом -- он начнет с вами бороться. кто победит в этой борьбе? возможно, вы. а, возможно, что и нет.
V>Найденные дыры можно использовать вообще как угодно и совсем необязательно сообщать о них разрабам.
разработчики сами о них узнают по коду вашей программы.
V>А антивирусы от McAfee валят компьютеры тысячами. Действительно — зачем они нужны?
понятия не имею. с купленным ноутом шел предустановленный антивирус. удалил тут же.
вообще пора писать книгу 'inside McAfee'
americans fought a war for a freedom. another one to end slavery. so, what do some of them choose to do with their freedom? become slaves.
Здравствуйте, мыщъх, Вы писали:
V>>А, ну да. Написать нормальный антивирус — это конечно не ваш вариант. М>антивирус -- это сложная система. от движка до сигнатур. причины фэлсов могут быть и в том, и в другом. если двиг слабый, то он не позволяет написать качественную сигнатуру в силу тех или иных ограничений. попытка усовершенствовать двиг ведет к усложнению языка описания сигнатур и негде брать тех, кто эти сигнатуры напишет. банально не хватает людей.
Само использование сигнатур подразумевает ложные срабатывания, а низкая квалификация аналитиков ее усугубляет.
Несколько раз сталкивался с тем, что добавляя на форму компонент Delphi я получаю кучу фелсов потому что
этот компонент используется в вирусах.
М>вообще пора писать книгу 'inside McAfee'
Здравствуйте, icezone, Вы писали:
I>Несколько раз сталкивался с тем, что добавляя на форму компонент Delphi я получаю кучу фелсов потому что I>этот компонент используется в вирусах.
Меня этим касперский в основном мучал.
Всё сказанное выше — личное мнение, если не указано обратное.
Здравствуйте, мыщъх, Вы писали:
I>>Ничего личного. Ключевое слово McAfee. Они тут как красная тряпка. М>я уже давно не в McAfee.
Но отмываться от него придётся долго.
... << RSDN@Home 1.1.4 stable SR1 rev. 568>>
Re[7]: Что позволено Юпитеру. Или как я покупал Adobe Photoshope Elements 10
I>>Т.е. даже ты признаешь, что антивирусы — это такой большой и дорогой лохотрон. M_F>Лохотрон лохотроном, но без антивируса на рабочем компьютере нельзя. Так как последствия попадания реального вируса в ваш дистрибутив могут быть очень неприятными.
Если рабочий компьютер — то в интернет ходить с браузера, запущенного через песочницу и за этот компьютер не пускать никого (т.е. везде пароли и т.п.), никаких левых флешек и пр. Само собой никаких программ с торрентов и прочих помоек. Тогда никаких вирусов не будет.
Никакого смысла в использовании антивирусов нет уже давно. Ну только борьба с излишней скоростью работы компьютера
Re[8]: Что позволено Юпитеру. Или как я покупал Adobe Photoshope Elements 10
Здравствуйте, Философ, Вы писали:
Ф>Здравствуйте, icezone, Вы писали:
I>>Несколько раз сталкивался с тем, что добавляя на форму компонент Delphi я получаю кучу фелсов потому что I>>этот компонент используется в вирусах.
Ф>Меня этим касперский в основном мучал.
Касперский как ни странно самый адекватный антивирус. Один раз сделали для них
инструкцию по проверке защищенных NiceProtect'ом файлов в 2004 году и с тех пор
практически нет фолсы. Что не скажешь про NOD32, McAfee и Avira.
Здравствуйте, KARPOLAN, Вы писали:
KAR>Ну реально они задолбали
KAR>Сбилдил на Delphi 7 новый релиз фриварки, по приколу решил проверить, так на virustotal.com уже 2 детекшена...
KAR>P.S. Вы как часто мониторите virustotal.com и подобное? Какая-то автоматизация для этого есть?
Мониторим постоянно, правда последнее время только интереса ради. C кем можно было
договориться — уже договорились и они имеют инструкции по проверке защищенных файлов. C другими же сложнее. Для меня лично являются крайне непонятными лишь две конторы: Avira и NOD32. Если с первой я лично вел переговоры полтора года (безрезультатно — говорили что исправили но очередной билд и все по новой), то с NOD32 вроде бы выслали
им все инструкции по проверку и отсеиванию малвари в защищенных файлах но фолсы все равно иногда появляются. Кстати повод напомнить им.
PS: Цифровая подпись на этих ребят не влияет никак.
Здравствуйте, icezone, Вы писали:
I>Здравствуйте, мыщъх, Вы писали:
I>Само использование сигнатур подразумевает ложные срабатывания, а низкая квалификация аналитиков ее усугубляет.
как раз сигнатуры позволяют этих самых фэлсов избежать. если сигнатура написана правильно, то она срабатывает на некую уникальную метрику. например, специфичные текстовые строки в секции данных. например, в трояне записан url с доменным именем хакера. откуда взяться ложным срабатываниям?
фэлсы это не проблема сигнатур, это проблема плохих сигнатур или плохого движка. многие популярные движки по соображениям производительности транслируют сигнатуры в DFA-дерево. при этом на сигнатуры налагается множество ограничений. можно транслировать в NFA -- это мощнее, но... тормоза.
I>Несколько раз сталкивался с тем, что добавлпяя на форму компонент Delphi я получаю кучу фелсов потому что I>этот компонент используется в вирусах.
счастливые люди. у меня регулярно были фэлсы на антивирусные обновления, которые включают компоненты, используемые в троянах. в смысле обновление и есть куски этих компонентов, только слегка закодированные. допустим, мы их раскодировали. увидели зловредный компонент. выдали алерт. я так и не нашел решения как избежать алертов на обновления.
М>>вообще пора писать книгу 'inside McAfee' I>Я бы купил
значит, точно пора писать
americans fought a war for a freedom. another one to end slavery. so, what do some of them choose to do with their freedom? become slaves.
Комодо бесплатный порадовал тут, поставил проактивную защиту в параноидальный режим, люблю быть в курсе того, что происходит, вроде бы работал и усердно предупреждал всякий чих от разного софта, а тут свою же софтину упакованную когда-то давно молебоксом запустил, сделал все, что нужно, выгрузил данные, закрыл и тут этот красавец просыпается типа тревога можно ли разрешить этой проге делать то и то
Здравствуйте, мыщъх, Вы писали:
М>как раз сигнатуры позволяют этих самых фэлсов избежать. если сигнатура написана правильно, то она срабатывает на некую уникальную метрику. например, специфичные текстовые строки в секции данных. например, в трояне записан url с доменным именем хакера. откуда взяться ложным срабатываниям?
Простейший пример. Имеем SFX-архиватор. Пакуем им трояна. Антивирусники заносят в базы сигнатуру чего? Правильно! SFX модуля. Все легальные клиенты получают фелсы.
Так происходит в 99% случаев. Пишешь, объясняешь, кивают головой, обещают распаковывать данные. Проходит неделя и все повторяется.
М>счастливые люди. у меня регулярно были фэлсы на антивирусные обновления, которые включают компоненты, используемые в троянах. в смысле обновление и есть куски этих компонентов, только слегка закодированные. допустим, мы их раскодировали. увидели зловредный компонент. выдали алерт. я так и не нашел решения как избежать алертов на обновления.
Куда уж там, счастливые. Сидишь и меняешь местами строчки чтобы фелс пропал.
М>значит, точно пора писать
Здравствуйте, icezone, Вы писали:
I>Здравствуйте, de Niro, Вы писали:
DN>>offtopic: а почему вы это слово так пишете? произносится-то оно "фолс"...
I>Та же фигня что и с Микрософт.
Не, не та. Если б была та, то писали бы "фалсе"
Кстати, та же фигня с "хидер" вместо "хедер" (header).
есть правда вероятность что гугл поступит традиционно c покупными проектами — закроет просто вирустотала через годик CRT>Кстати гугл купил вирустотал. Боюсь как бы гугл не начал использовать как-нибудь результаты из вирустотала
Здравствуйте, Submitter, Вы писали:
S>Здравствуйте, autopsist, Вы писали:
A>>Недавно в России был принят закон позволяющий привлекать за клевету.
S>Вроде говорили, что этот закон был давно и имел уголовную ответветственность, а его перевели в административное законодательство.
клевета это когда с умыслом. без умысла это халатность. причем, эту халатность трудно доказать, т.к. всегда можно сослаться на техническое несовершенство.
даже в ситуации, когда разработчики антивируса считают вашу программу зловредной, а вы считаете наоборот, то хрен что отсудишь.
americans fought a war for a freedom. another one to end slavery. so, what do some of them choose to do with their freedom? become slaves.