Приветствую, Господа!

А расскажите пожалуйста как кто реагирует в ситуации, когда Ваши шаровары принимаются некоторыми (мягко говоря не самимыми популярными ) антивирусами
как трояны/вирусы ?
Стоит ли где-то на сайте/мануале писать что мол "так и так — пользователь не гневайся, некоторые антивирусы не ведают что делаеют" и т.д. ?

Как лучше поступить ?

Кокретно некий "Sophos" определил мой exeшник как "Mal/FakeAV-CX" ;

Этот модуль отвечает за подсистему защиты ПО.

Спасибо.

Здравствуйте, sjukov, Вы писали:

S>А расскажите пожалуйста как кто реагирует в ситуации, когда Ваши шаровары принимаются некоторыми (мягко говоря не самимыми популярными ) антивирусами
S>как трояны/вирусы ?

Скажу как пользователь. С этого года меня задолбал avast! своими ложными срабатываниями, где даже sbcl у него идет как потенциально опасный. В общем, он меня так достал, что я отключил эту его фичу к черту.

Здравствуйте, sjukov, Вы писали:


S>А расскажите пожалуйста как кто реагирует в ситуации, когда Ваши шаровары принимаются некоторыми (мягко говоря не самимыми популярными ) антивирусами
S>как трояны/вирусы ?
S>Стоит ли где-то на сайте/мануале писать что мол "так и так — пользователь не гневайся, некоторые антивирусы не ведают что делаеют" и т.д. ?

S>Как лучше поступить ?

1)перекомпилировать cофт
2)ругаться с антивирусами, потерять 2 недели и вернуться к п.1.

Здравствуйте, iconix, Вы писали:

S>>Как лучше поступить ?
I>1)перекомпилировать cофт
К сожалению не сработало. Проблему вызывает всего лишь парочка строк. Если их удалить, то никаких нареканий у антивируса нет

Бодаться с саппортом антивируса я так понял бесперспективно. А пользователь уже будет с опаской думать о моем софте.
Вот собственно вся загогулина в этом — т.е. нужно ли заранее оподготовить пользователя, чтобы тот расстраивался не так сильно

PS:
Проблема была и на раннем этапе прототипа, и собственно после добавления солидного куска кода. Т.е. перекомпилировалось оно уже тысачу раз.

S>>А расскажите пожалуйста как кто реагирует в ситуации, когда Ваши шаровары принимаются некоторыми (мягко говоря не самимыми популярными ) антивирусами
S>>как трояны/вирусы ?

D>Скажу как пользователь. С этого года меня задолбал avast! своими ложными срабатываниями, где даже sbcl у него идет как потенциально опасный. В общем, он меня так достал, что я отключил эту его фичу к черту.


Всегда хотел ознакомиться с этим изделием, но никак не мог. Он у меня никогда нормально не устанавливался, иногда ронял систему, всегда для его удаления требовалась специальная утилита с их сайта, сама деинсталлироваться "не шмогла". А дизайн хороший по картинкам, хочу себе этот дизайн посмотреть-пощупать-оценить. Видел у людей его установленным, значит где-то он работает. Как его поставить? Что ему может не нравиться? Пробовал на XP, 7 home, на какой-то проф.

Здравствуйте, sjukov, Вы писали:

S>>>Как лучше поступить ?
I>>1)перекомпилировать cофт
S>К сожалению не сработало. Проблему вызывает всего лишь парочка строк. Если их удалить, то никаких нареканий у антивируса нет

Если уже ясно какие строки вызывают проблему, можно попробовать провести небольшую ручную обфускацию этих строк?

Здравствуйте, YuriKobets, Вы писали:

YK>Здравствуйте, sjukov, Вы писали:

S>>>>Как лучше поступить ?
I>>>1)перекомпилировать cофт
S>>К сожалению не сработало. Проблему вызывает всего лишь парочка строк. Если их удалить, то никаких нареканий у антивируса нет
YK>Если уже ясно какие строки вызывают проблему, можно попробовать провести небольшую ручную обфускацию этих строк?

Там вызов ::VirtualAlloc(NULL, CODE_SIZE_MIN, MEM_COMMIT, PAGE_EXECUTE_READWRITE) .

Попробую как-то в обход сделать.

Спасибо.

Здравствуйте, grosborn, Вы писали:

G>Всегда хотел ознакомиться с этим изделием, но никак не мог. Он у меня никогда нормально не устанавливался, иногда ронял систему, всегда для его удаления требовалась специальная утилита с их сайта, сама деинсталлироваться "не шмогла". А дизайн хороший по картинкам, хочу себе этот дизайн посмотреть-пощупать-оценить. Видел у людей его установленным, значит где-то он работает. Как его поставить? Что ему может не нравиться? Пробовал на XP, 7 home, на какой-то проф.

Да я много лет использую его на XP 32, Vista 32, и 7 64. Давно не устанавливал. Просто обновлял программу через их интерфейс. Нет, в целом неплохой антивирус. Только в этом году достал своими ложными срабатываниями почти на всем подряд. Когда в карантин поместил рабочие файлы нашего проекта во время полутарочасовой сборки, меня это взбесило, и я отключил опцию карантина для "подозрительных" программ.

Здравствуйте, grosborn, Вы писали:

G>Всегда хотел ознакомиться с этим изделием, но никак не мог. Он у меня никогда нормально не устанавливался, иногда ронял систему, всегда для его удаления требовалась специальная утилита с их сайта,
Всегда вставал нормально на ХР

G>>Всегда хотел ознакомиться с этим изделием, но никак не мог. Он у меня никогда нормально не устанавливался, иногда ронял систему, всегда для его удаления требовалась специальная утилита с их сайта,
F>Всегда вставал нормально на ХР

Что-то, а точнее жалобы на их сайте, наличие штатной вспомогательной утилиты и специальной инструкции как ее применять (обойти вокруг костра с бубном, постучать в бубен, еще раз обойти вокруг костра, постучать бубном себе по голове), вот это как бэ намекает что проблемы были не только у меня. Так что наверное все-таки не всегда?

Здравствуйте, sjukov, Вы писали:

S>Там вызов ::VirtualAlloc(NULL, CODE_SIZE_MIN, MEM_COMMIT, PAGE_EXECUTE_READWRITE) .

S>Попробую как-то в обход сделать.

Да тут тупо GetProcAddress и вызов по адресу функции. А может еще интересней: константу PAGE_EXECUTE_READWRITE запихать в переменную (наверняка именно этот момент ему и не нравится).

Здравствуйте, YuriKobets, Вы писали:

YK>Здравствуйте, sjukov, Вы писали:

S>>Там вызов ::VirtualAlloc(NULL, CODE_SIZE_MIN, MEM_COMMIT, PAGE_EXECUTE_READWRITE) .

S>>Попробую как-то в обход сделать.

YK>Да тут тупо GetProcAddress и вызов по адресу функции. А может еще интересней: константу PAGE_EXECUTE_READWRITE запихать в переменную (наверняка именно этот момент ему и не нравится).

только хардкор

static LPVOID pLoadLibrary = &LoadLibrary;
static LPVOID pGetProcAddress = &GetProcAddress;

<..>

    __asm {
        push pLibName
        call pLoadLibrary
        test eax, eax
        jz ext
        push pfuncName
        push eax
        call pGetProcAddress
        test eax, eax
        jz ext
        push PAGE_EXECUTE_READWRITE
        push MEM_COMMIT
        push CODE_SIZE_MIN
        push NULL
        call eax
        test eax, eax
        jz ext
        mov pAllocated, eax
    }

Здравствуйте, sjukov, Вы писали:


S>Как лучше поступить ?

начать с того, что написать письмо в софос, дескать, посмотрите ложное обнаружение.

У меня на сайте программа распространяется прямой ссылкой на exe файл.

Две недели назад проверял ссылку на файл по малваре базе через вирустотал, тогда одно китайское гавно выдавало, что это малвара. Забил, ничего не делал. Сегодня проверил еще раз, и теперь уже 9 сервисов скопировали результат ложного срабатывания. Файл имеет верную подпись от верисигна. Если проверить файл через вирустотал при помощи прямой загрузки файла, то он оказывается чистым.

Еще раз убедился, что вирустотал сливает результаты проверок другим компаниям, а те не думая, копируют результат ложного срабатывания.

Теперь придется хрен знает сколько времени тратить на то, чтобы найти куда писать

Здравствуйте, dr.virus, Вы писали:

DV>Теперь придется хрен знает сколько времени тратить на то, чтобы найти куда писать

Чтобы не искать долго: http://www.softwareprotection.info/2011/08/antivirus-false-detection-how-to-solve/

Здравствуйте, enigmas, Вы писали:

E>Здравствуйте, dr.virus, Вы писали:

DV>>Теперь придется хрен знает сколько времени тратить на то, чтобы найти куда писать

E>Чтобы не искать долго: http://www.softwareprotection.info/2011/08/antivirus-false-detection-how-to-solve/

С антивирусами проще, но по их базам все чисто. У меня проблема с базой данных malware сайтов, как пример вот с этой: http://malc0de.com/database/ , куда писать я не нашел, если только в твитер .

Самый прикол в той базе мой файл является малварой и содержит ссылку на проверку вирустотала, которая имеет абсолютно чистый результат. После чего другие попугаи без разбора видят меня в той базе и заносят в свою.