собственно выложил новый проект, подпись старая, подозреваю что может ругаться на библиотеку...
только короче говоря одному google safebrowsing не нравится дистрибутив, всем остальным с virustotal — ok.
подскажите, что можно предпринять кроме как форму сабмитить через search console? в форму дважды писал, приходят каждые 3 дня отказы, дескать ревью файлед, ваш файл по прежнему опасен. думаю сидит там робот, которому по прежнему тупо что то не нравится в файле.... до человека не достучаться?
Здравствуйте, falcoware, Вы писали: >>которому по прежнему тупо что то не нравится в файле.... до человека не достучаться? F>Почему? sergey.breen@google.com
Я бы еще избавился от пакеров EXE/DLL типа AsPack, AsProtect, UPX. Пакерами часто сжимают вирусы и антивирусники часто не заморачиваются точным определением сигнатуры — все что упаковано тем же пакером признается вирусом.
Как вариант, собрать несколько вариантов дистрибутива — с разным количеством EXE/DLL и посмотреть на что будет ругаться Google, чтобы вычислить проблемный файл и дальше заниматься им.
Здравствуйте, dmitry251, Вы писали:
D>собственно выложил новый проект, подпись старая, подозреваю что может ругаться на библиотеку...
Использовать опыт вирусописателей по противодействию эвристике
Самый простой вариант — весь "сомнительный" код оформляем в виде dll, затем шифруем и помещаем в ресурсы.
Расшифровываем используя коды возврата вызова API функций (заведомо успешные и не успешные).
Здравствуйте, edton, Вы писали:
E>Здравствуйте, dmitry251, Вы писали:
D>>собственно выложил новый проект, подпись старая, подозреваю что может ругаться на библиотеку...
E>Использовать опыт вирусописателей по противодействию эвристике E>Самый простой вариант — весь "сомнительный" код оформляем в виде dll, затем шифруем и помещаем в ресурсы. E>Расшифровываем используя коды возврата вызова API функций (заведомо успешные и не успешные).
А дальше скидываем на диск и загружаем стандартно с диска или выгружаем длл в память, настраиваем перемещение и таким образом с ней работаем?
Плохой совет. Гугл на первых порах пропустит, но локальные антивирусы эти фокусы быстро раскусят.
Здравствуйте, andy, Вы писали:
A>Плохой совет. Гугл на первых порах пропустит, но локальные антивирусы эти фокусы быстро раскусят.
Это простейший вариант, но расшифровать не запустив приложение почти невозможно. Ну и не троян же мы на самом деле пишем, исходим из того, что у нас безобидное приложение. Цель — уменьшить число фолсов, на virustotal том же например.
Если есть другие идеи интересно услышать.
Здравствуйте, edton, Вы писали:
E>Здравствуйте, andy, Вы писали:
A>>Плохой совет. Гугл на первых порах пропустит, но локальные антивирусы эти фокусы быстро раскусят.
E>Это простейший вариант, но расшифровать не запустив приложение почти невозможно. Ну и не троян же мы на самом деле пишем, исходим из того, что у нас безобидное приложение. Цель — уменьшить число фолсов, на virustotal том же например. E>Если есть другие идеи интересно услышать.
Конечно не вирус пишем, поэтому скорее всего ложное срабатывание на сигнатуру.
Для начала пересобрать ДЛЛ с другим способом оптимизации (без оптимизации, по размеру и по скорость). Соответственно изменится весь байт код 3 раза. Проверить 3 варианта ДЛЛ. Это даст пищу для размышлений срабатывание на сигнатуру или на эвристику. Если на эвристику, то тут хозяин-барин сам должен знать, что делает такое длл, что может не понравится эвристике.
Для своего проекта, я это место знаю и поэтом долго антивирусные поддержки окучивал.
Здравствуйте, andy, Вы писали:
A>Конечно не вирус пишем, поэтому скорее всего ложное срабатывание на сигнатуру.
сейчас основные фолсы генерят не сигнатуры, а облачный AI, который запускает программу в песочнице и анализирует ее действия
в итоге на VirusTotal ни одного срабатывания, а у юзеров после скачивания файл объявляется вредоносным
Здравствуйте, PeterOfLight, Вы писали:
POL>Я бы еще избавился от пакеров EXE/DLL типа AsPack, AsProtect, UPX. Пакерами часто сжимают вирусы и антивирусники часто не заморачиваются точным определением сигнатуры — все что упаковано тем же пакером признается вирусом.
Здравствуйте, icezone, Вы писали:
I>Здравствуйте, andy, Вы писали:
A>>Конечно не вирус пишем, поэтому скорее всего ложное срабатывание на сигнатуру.
I>сейчас основные фолсы генерят не сигнатуры, а облачный AI, который запускает программу в песочнице и анализирует ее действия I>в итоге на VirusTotal ни одного срабатывания, а у юзеров после скачивания файл объявляется вредоносным
Это по вашему опыту или откуда инфа? Субъективно у меня другое мнение.
Здравствуйте, andy, Вы писали:
A>Это по вашему опыту или откуда инфа? Субъективно у меня другое мнение.
По личному опыту.
Приведу простой пример: новый релиз проверен на Вирустотал — ни одного срабатывания, а пользователи жалуются.
Скачиваю файл с сервера и у меня тоже Windows Defender начинает истерить, хотя до этого файл проверял и ничего не находил.
Здравствуйте, dmitry251, Вы писали:
D>собственно выложил новый проект, подпись старая, подозреваю что может ругаться на библиотеку... D>только короче говоря одному google safebrowsing не нравится дистрибутив, всем остальным с virustotal — ok. D>подскажите, что можно предпринять кроме как форму сабмитить через search console? в форму дважды писал, приходят каждые 3 дня отказы, дескать ревью файлед, ваш файл по прежнему опасен. думаю сидит там робот, которому по прежнему тупо что то не нравится в файле.... до человека не достучаться?
У нас когда такое было, отправляли отчет об ошибке через Хром через (вертикальное троеточие справа вверзу) -> Help -> Report an issue с той странице, на которой "вредоносный", файл с отчетом (чистым) с VirustTotal. Через 3 часа детекция на файле снималось. Похоже, их автоматический алгоритм учитывает такие отчеты при определении, является ли файл вредоносным. Но у нас и через Search Console при отправке отчета статус вредоносности снимался.
А вообще, надо заранее заготовить загрузчик на дистрибутив. Как раз для таких случаев.
Здравствуйте, icezone, Вы писали:
I>Здравствуйте, andy, Вы писали:
A>>Это по вашему опыту или откуда инфа? Субъективно у меня другое мнение.
I>По личному опыту. I>Приведу простой пример: новый релиз проверен на Вирустотал — ни одного срабатывания, а пользователи жалуются. I>Скачиваю файл с сервера и у меня тоже Windows Defender начинает истерить, хотя до этого файл проверял и ничего не находил.
Согласен, просто вы слишком закодировали фразу "сейчас основные фолсы генерят не сигнатуры, а облачный AI," нужно несколько раз перечитать, чтобы понять, где сленг, где английский, где новомодный язык.
Другими словами на локальных компьютерах работает антивирусная эвристика. Программа запускается и выполняется в этот момент антивирус пытается проанализировать множество вызовов API и понять что делает софт. Если действия софта не укладываются в обычное представление, то выдается предупреждение или тревога. Также срабатывает метод обучения.
На virustotal.com это дорого (время, ресурсы) поэтому основная проверка по сигнатурным базам.
Если кто не знает, то добавлю, что топовые антивирусы продают свои базы антивирусным конторам третьей руки.
Так например, если вы обнаружили, что начал ныть Касперский, то через 2-3 дня взвоют 5-7 китайских антивирусов. Только Касперский погасил false positive, то через столько же дней успокоятся антивирусы третьего ряда.
Кстати у топовых антивирусов хорошая поддержка и они быстро гасят false positive. Можно писать и просить, чтобы обратили внимание на ваш софт, что так и так у вас стоит собственная защита, которая использует нестандартные методы (читай вирусные), и тп. В свое время мне поддержка Касперского очень помогла, тк основные проблемы исходили именно от него. Поэтому пишу из собственного опыта общения с антивирусной поддержкой.
Здравствуйте, andy, Вы писали:
A>На virustotal.com это дорого (время, ресурсы) поэтому основная проверка по сигнатурным базам.
Эвристические анализаторы то ведь разные бывают, простейшие (как минимум) антивирусы с эвристикой на virustotal были еще с момента его (сайта virustotal) появления. Все эти "Heur" или "Generic" в названии вирусов признак распознавания эвристиком.
Примитивный эвристик может просто ругаться на последовательность вызовов API функций не учитывая даже аргументы или учитывая если они передаются в статике или получены простейшим эмулятором ЦП.