А больша́я ли доля пользователей проверяет программу на Virus Total?
Предполагаю что большинство людей использует Windows Defender, либо другие крупные антивирусы, а они насколько понимаю не копируют тупо друг у друга инфу с вирус тотала
Раздел 4.9.1.1 — список из 6 причин для отзыва. Единственное, чего подходит — это пункт 6, но там таки нужны конкретные доказательства, а не ля-ля-тополя от вирустотала.
Короче, если бы у меня была такая проблема, я бы подписал viewer и вписывал в него клиентские данные. В этом нет ничего криминального и это метод, по которому работает тонна инсталляторов enterprise software, которые позволяют делать customized client deployment. Это абсолютно рутинная практика.
Здравствуйте, Aquilaware, Вы писали:
A>Если же в файле присутствует некоторый статистический "образ", обозримый математически, то тогда AV со временем будут учиться обрабатывать вас правильно.
Выносить вердикт плохой/хороший на основе какой либо статистики — это полнейший бред. Плохой/хороший можно определить ТОЛЬКО по поведению программы (грубо говоря ее полной эмуляцией в песочнице). Все остальные методики (сигнатуры, статистический образ, отсутствие/присутствие подписи, высокая энтропия и прочая хрень) — это такое г@вно на лопате, которым аверы кормят своих пользователей, оправдывая ложные срабатывания.
Здравствуйте, T4r4sB, Вы писали:
vsb>>Перейдите на формат HTML. HTML-файл, открыввается в браузере, в нём ваш отчёт. На JavaScript можно написать любую логику для просмотра и тд.
TB>Не очень понятно, почему мы должны делать какие-то движения из-за говноаверов-обманщиков
Потому, что есть то, на что повлиять нельзя, а есть то, на что повлиять можно. Не, если цель в этой теме — посотрясать воздух и выпустить пар, дело ваше, конечно. Я к этому подхожу с технической точки зрения.
PS я как юзер не стал бы запускать отчёт.exe, кстати. А отчёт.html стал бы. По-моему это вообще максимально странная идея — упаковывать документ в exe-файл, противоречащая всякому здравому смыслу.
Здравствуйте, icezone, Вы писали:
I>тогда логично ничего не делать по аналогии с мальчиком, который кричал "Волки!" I>так было с UAC, так происходит с сертификатами, так будет и с антивирусами
Смотря, какая у вас цель. Если зарабатывать, то надо решать вопрос. Если жаловаться на форуме без конкретной конечной цели, то ничего не делать.
1. Есть ли протектор на EXE файлах?
Я давно отказался от них, т.к. увеличилось число false positive.
2. Есть ли codesign на всех EXE продукта? Попробуйте подписать, может помочь со временем.
3. В продукте есть куча ресурсов, которые распаковываются при запуске и скидываются в temp папку, например DLL'ки. Но правда, есть нюанс, у меня все они зашифрованы типа ксором, может это помогает избежать сканирования.
Если все выше неактуально, то остается только посылать жалобы на false positive каждому разработчику антивируса.
У меня последние несколько лет сильно убавилось число false positive, после жалоб в предыдущие годы. может в white list внесли, не знаю.
Здравствуйте, icezone, Вы писали:
I>Общая картина все та же — чтобы просматривать результаты работы на другой машине без установки софта сделал отдельный просмотровщик своего формата файлов. I>Потом добавил возможность закинуть все файлы в ресурсы просмотровщика и просто таскать один exe-файл. I>Антивирусы моментально возбудились и основные детекты были Trojan/Delph и Trojan/Dropper, хотя никаких файлов программа не создавала, в сеть не лезла.
Есть предположение, что аверы начинают фолсить при больших размерах RCDATA в ресурсах, думая что это дроппер. Я бы попробовал переделать размещение самих данных, например в конец файла, а в ресурсах бы сохранял файловое смещение на эти данные.
Здравствуйте, icezone, Вы писали: I>нет, сами Malwarebytes признали ложное срабатывание, но удалять отказались I>по их мнению я должен обновить компилятор и подписать код, фиксить свои косяки они не будут
В VirusTotal жалобу писал? Мне лично это помогало убрать фолс выдаваемый вскими говноаверами, которые мороизились и не отвечали на фолсрепорты.
Здравствуйте, sharez, Вы писали:
S>Так и вас никто не наказывал по суду. Тем не менее проблема имеется, её надо решать.
это нерешаемая проблема
у меня и инсталлятор свой был и плагины — все это теперь страшные трояны
S>Не очень понятно, почему нельзя сделать просмотрщик сразу для всех версий ваших отчетов. S>А ещё лучше, чтобы можно было визуализировать через веб-сервис или исполняемый файл, который один и навсегда, но шлет запрос на обновляемый рендер-сервер.
зачем эти веб-сервисы тянуть за уши туда где им не место?
скоро и калькулятор с блокнотом будут через облако работать
я делаю так, как нужно клиентам, а не как сейчас модно
Здравствуйте, icezone, Вы писали:
I>Никакого способа решения проблемы не вижу.
После выхода ChatGPT на волне хайпа производители AV массово ринулись усиленно внедрять ML/AI технологии, в основе которых лежит простая мат. статистика. Другими словами, на статистике конкретного файла происходит обучение хороший/плохой. Но если файл всегда случайно сгенерированный, то такое обучение не будет происходить направленно, поэтому будут ложные срабатывания из-за "подозрительности".
Если же в файле присутствует некоторый статистический "образ", обозримый математически, то тогда AV со временем будут учиться обрабатывать вас правильно. Убедитесь, что в сгенерированных файлах есть такие зацепки. Самый простой вариант — вшить в них блок фиксированных данных в пару килобайт, который не будет меняться от версии к версии. Но это самый топорный способ, возможны и более экстравагантные статистические метки.
Здравствуйте, drVanо, Вы писали:
V>Выносить вердикт плохой/хороший на основе какой либо статистики — это полнейший бред.
Идея не в том, как выносить вердикт. Идея в том, как аккумулировать выносимые вердикты по отношению к некоторому автору. Автором при этом может выступать не только человек или компания, но и машина как в случае с топик стартером. Поэтому любой эвристический обучающийся оракул всегда будет полагаться на некоторый идентификатор, привязку, стиль при выносе следующих вердиктов.
Если вы конечно вообще понимаете о чем я говорю. Производители AV обленились. Они хотят чтобы всю работу за них делал некий "черный ящик".
Здравствуйте, icezone, Вы писали:
I>сейчас банят сам просмотровщик, т.е. еще до того, как я в него ресурсы пытаюсь добавить
Я бы сделал подписанный просмотрщик (сертификат должен иметь репутацию). Сам просмотрщик должен нормально обрабатывать все версии того, что он там открывает, при необходимости сообщая что нужно обновить. Просмотрщик можно сделать "умнее", например если с ним в одной папке лежит "ваш" файл то сразу открывать его на просмотр — тогда файл и просмотрщик можно отправлять в одном архиве и по идее двойным кликом по .exe сразу все откроется.
Здравствуйте, icezone, Вы писали:
I>Так и должно быть, но по факту имеем безобидные программы, которые вообще ничего не делают, но детектятся как страшные угрозы. I>Если не ошибаюсь, у BitDefender критерием вредоносности является использование устаревшего компилятора. Это они сами сказали.
С другой стороны может быть оно в целом и к лучшему — конечные пользователи постепенно привыкнут, что фолсы — это норма, а антивирусы со временем вымрут как никому не нужный хлам.
Здравствуйте, sharez, Вы писали: S>Может, вам на вирусы провериться? Я без шуток.
Попробовал повторить эксперимент ТС. Собрал пустой 32 битный проект на Делфи ХЕ2 — 7 детектов (там даже Касперский алармит 🙀), он же но подписанный — уже всего один детект каким-то китайским говноавером jiangmin.
Тот же самый пустой проект, но уже скопилированный под 64 бита. Без подписи — всего один детект (!), с подписью — ноль детектов.
Вряд ли дело в вирусах на компе, скорее всего некоторые говноаверы так реагируют на 32 битный Дельфи код, 64 битный вызывает у них куда меньше вопросов.
Не думаю, что кто-то их вообще использует, или, если зачем-то все таки используют, то видят фолсы по 10 штук в день и к ним привыкли.
Но у вас много детектов, и один оз относительно нормальных антивирей (Malwarebytes) отметился. Может реально есть вирус в системе или сама Delphi заражена, как в свое время был Win32/Induc.A (вроде так).
Я уже писал что антивирусы убили один мой продукт, но он был из категории украшательств и особо денег не приносил.
За ним последовал второй, из области презентаций, где генерился исполняемый модуль.
И вот третий раз на те же грабли.
Общая картина все та же — чтобы просматривать результаты работы на другой машине без установки софта сделал отдельный просмотровщик своего формата файлов.
Потом добавил возможность закинуть все файлы в ресурсы просмотровщика и просто таскать один exe-файл.
Антивирусы моментально возбудились и основные детекты были Trojan/Delph и Trojan/Dropper, хотя никаких файлов программа не создавала, в сеть не лезла.
Потом досталось и отдельному просмотровщику — он тоже стал страшным трояном.
Сперва лечилось просто косметическими изменениями — другая иконка, изменение текста, номера версии. (да, антивирусы настолько тупые)
Сейчас пошли уже ковровые бомбардировки на Virustotal — куча детектов, которые мелкие шарашки копируют друг у друга.
Пробовал решать проблему напрямую, но антивирусы только конкретный файл могут внести в список исключений. Через пару дней детекты возвращаются.
Пробовал все подозрительное убрать, дошел практически до пустого проекта — похоже код на Delphi уже сам по себе вызывает подозрения.
В качестве бонуса имею рандомные детекты AI/ML/Malicious/Suspicious практически для всего софта.
Просто в копилку идей: скачивать требуемые ресурсы динамически с вашего сервера, возможно сразу загружать в память на лету, не сохраняя как файлы. Тогда можно жить с одним whitelist-бинарником довольно долго. Не знаю, можно ли DLL загрузить в память по URL'у, тогда можно вообще всю логику туда вынести, и обновлять чисто DLL.
Здравствуйте, icezone, Вы писали: I>Пробовал все подозрительное убрать, дошел практически до пустого проекта — похоже код на Delphi уже сам по себе вызывает подозрения.
Некоторое время назад замечал, что код сгенеренный современными версиями Дельфи 10.х и выше вызывает false positive на вирустотал (не у всех, лишь у нескольких антивиров). Например, те же инсталляхи генерируемые InnoSetup 6.x детектятся (оно на Дельфи 10.x), а если сделать инсталляху на 5.6 (там юзается какая-то древняя Дельфя, типа ХЕ2), то она зелененькая. Интересно, у тебя какая версия Дельфи?
Недавно закончился сертификат на подпись и обнаружил, что если сейчас exe-файл не имеет цифровой подписи, то его антивирусы сразу считают трояном. Попробовал без цифровой подписи закачать на сервер свою программу-продукт, которая не оращается к интернет, не используется протектор, написана на MS Visual Studio С++. И антивирусы её называют трояном. Был шокирован.
Здравствуйте, PeterOne, Вы писали:
PO>1. Есть ли протектор на EXE файлах?
нет
PO>2. Есть ли codesign на всех EXE продукта? Попробуйте подписать, может помочь со временем.
я не могу подписать exe, который формируется у пользователя
PO>3. В продукте есть куча ресурсов, которые распаковываются при запуске и скидываются в temp папку, например DLL'ки. Но правда, есть нюанс, у меня все они зашифрованы типа ксором, может это помогает избежать сканирования.
ничего нет, standalone exe, никаких временных файлов и библиотек
PO>Если все выше неактуально, то остается только посылать жалобы на false positive каждому разработчику антивируса. PO>У меня последние несколько лет сильно убавилось число false positive, после жалоб в предыдущие годы. может в white list внесли, не знаю.
я не могу пожаловаться на файл, который есть только у клиента
Здравствуйте, wantus, Вы писали:
W>Здравствуйте, icezone, Вы писали:
I>>Пробовал решать проблему напрямую, но антивирусы только конкретный файл могут внести в список исключений.
W>Пару раз помогало попросить этих клоунов за-whitelist-ать сертификат, которым подписываются бинарники.
Здравствуйте, sharez, Вы писали:
S>Здравствуйте, icezone, Вы писали:
S>Просто в копилку идей: скачивать требуемые ресурсы динамически с вашего сервера, возможно сразу загружать в память на лету, не сохраняя как файлы. Тогда можно жить с одним whitelist-бинарником довольно долго. Не знаю, можно ли DLL загрузить в память по URL'у, тогда можно вообще всю логику туда вынести, и обновлять чисто DLL.
да нет никаких ресурсов
есть бинарник для просмотра моего очета в xml
на стороне пользователя можно xml закинуть в RC_DATA бинарника чтобы можно было показать отчет на любом компе
Здравствуйте, mauzer_tim, Вы писали:
_>Некоторое время назад замечал, что код сгенеренный современными версиями Дельфи 10.х и выше вызывает false positive на вирустотал (не у всех, лишь у нескольких антивиров). Например, те же инсталляхи генерируемые InnoSetup 6.x детектятся (оно на Дельфи 10.x), а если сделать инсталляху на 5.6 (там юзается какая-то древняя Дельфя, типа ХЕ2), то она зелененькая. Интересно, у тебя какая версия Дельфи?
Здравствуйте, Retter, Вы писали:
R>Здравствуйте, icezone,
R>Недавно закончился сертификат на подпись и обнаружил, что если сейчас exe-файл не имеет цифровой подписи, то его антивирусы сразу считают трояном. Попробовал без цифровой подписи закачать на сервер свою программу-продукт, которая не оращается к интернет, не используется протектор, написана на MS Visual Studio С++. И антивирусы её называют трояном. Был шокирован.
у меня либа на C++ тупо считает FFT — десяток детектов
несколько купленных популярных либ тоже детекты вызывают
AI/Machine Learning — новая мулька антивирусов, раньше называли просто эвристикой
Здравствуйте, TailWind, Вы писали:
I>>на стороне пользователя можно xml закинуть в RC_DATA бинарника чтобы можно было показать отчет на любом компе
TW>Так почему вы не хотите сделать два файла?
TW>Отдельно exe viewer ваших отчётов TW>И отдельно отчёт
TW>Или вообще выгружать отчёт в pdf
оно так и было, но таскать отдельно просмотровщик для разных версий софта проблематично
просили сделать все-в-одном
В копилку безумных идей: генерить файл на сервере, там же и подписывать своим сертификатом (можно отдельный получить для этого дела, на всякий случай).
Кстати, как так получается, что инсталляторы, собранные Inno Setup, не получают сразу кучу false positives? Ведь, как я понимаю, там интерпретируется скрипт, причем при этом еще и файлы копируются, в реестр пишется всякое. Наверное, в этом случае производители антивирусов действительно получили бы большие проблемы, если бы такие инсталляторы детектились. Могут, когда хотят?
Так и вас никто не наказывал по суду. Тем не менее проблема имеется, её надо решать.
I>оно так и было, но таскать отдельно просмотровщик для разных версий софта проблематично
Не очень понятно, почему нельзя сделать просмотрщик сразу для всех версий ваших отчетов.
А ещё лучше, чтобы можно было визуализировать через веб-сервис или исполняемый файл, который один и навсегда, но шлет запрос на обновляемый рендер-сервер.
Здравствуйте, icezone, Вы писали:
I>За ним последовал второй, из области презентаций, где генерился исполняемый модуль.
И еще одна идея. Просмотрщик написать на .NET (Metro, WinForms, WPF etc.), использовать его код, как шаблон. При генерации брать этот шаблон и вставлять прямо в код те данные, которые должны отображаться. Я заметил, что к .NET антивирусы более толерантны: может потому что его проще проверять.
I>оно так и было, но таскать отдельно просмотровщик для разных версий софта проблематично I>просили сделать все-в-одном
Ваши проблемы понятны
I>что в этом криминального?
Но реальность такова, что новый exe файл это всегда угроза с точки зрения антивирусов, windows defender'ов, скачивания через Chrome
Вы даже по почте не сможете такой exe отправить
Думайте над решением, а не страдайте над проблемой ))
Напрашивается очевидный вариант. Это viewer, который может открывать все версии ваших отчётов. Если встретил более новую версию, чем он сам, то просить обновиться. Стандартизировать отчёт, чтобы не надо было обновляться часто
! Можно пытаться перенести всю логику в файл отчёта
! Например, сделать там мини java code. А в exe интерпретатор. Или типа того
Здравствуйте, icezone, Вы писали:
I>а — похоже код на Delphi уже сам по себе вызывает подозрения.
Твоя программа весит меньше 100 килобайт? Тогда всякое говно типа Авиры будет постоянно лепить фолс позитивы. Как бороться с погаными быдлокодерами, пишущими говняные недоантивирусы — не знаю.
Здравствуйте, drVanо, Вы писали:
V> Есть предположение, что аверы начинают фолсить при больших размерах RCDATA в ресурсах, думая что это дроппер. Я бы попробовал переделать размещение самих данных, например в конец файла, а в ресурсах бы сохранял файловое смещение на эти данные.
TrustViewer таскает в ресурсах непосредственно само приложение в виде dll, а exe только ее распаковывает и запускает. И всего два фолса. Экзешник, правда, подписан.
Здравствуйте, TailWind, Вы писали:
TW>Ваши проблемы понятны TW>Но реальность такова, что новый exe файл это всегда угроза с точки зрения антивирусов, windows defender'ов, скачивания через Chrome TW>Вы даже по почте не сможете такой exe отправить
т.е. компиляторы, архиваторы и прочее сейчас под запретом?
а пустой проект, который вообще ничего не делает — тоже угроза?
TW>Думайте над решением, а не страдайте над проблемой ))
как я выше написал — проблема глобальная
просто этот конкретный случай слишком сильно выделяется
TW>Напрашивается очевидный вариант. Это viewer, который может открывать все версии ваших отчётов. Если встретил более новую версию, чем он сам, то просить обновиться. Стандартизировать отчёт, чтобы не надо было обновляться часто TW>! Можно пытаться перенести всю логику в файл отчёта TW>! Например, сделать там мини java code. А в exe интерпретатор. Или типа того
веб-сервисы, виртуальные машины с джавой, интерпретаторы...
может сразу свою ОС написать?
просмотровщик я просто выкину из проекта, а проблема с антивирусами никуда не денется
Здравствуйте, Retter, Вы писали:
R>написана на MS Visual Studio С++. И антивирусы её называют трояном. Был шокирован.
По идее здесь есть логика, ведь как пишут во многих статьях Visual Studio С++ компилирует программы с троянами. Здесь на форуме уже это обсуждали. А вообще весь интернет завален этими обсуждениями.
Здравствуйте, icezone, Вы писали:
I>Здравствуйте, wantus, Вы писали:
W>>Здравствуйте, icezone, Вы писали:
I>>>Пробовал решать проблему напрямую, но антивирусы только конкретный файл могут внести в список исключений.
W>>Пару раз помогало попросить этих клоунов за-whitelist-ать сертификат, которым подписываются бинарники.
I>нельзя подписать чужой exe
Но в подписанный exe можно добавить любое количество данных, сохранив валидность подписи!
Здравствуйте, Unhandled_Exception, Вы писали:
U_E>Кстати, как так получается, что инсталляторы, собранные Inno Setup, не получают сразу кучу false positives? Ведь, как я понимаю, там интерпретируется скрипт, причем при этом еще и файлы копируются, в реестр пишется всякое. Наверное, в этом случае производители антивирусов действительно получили бы большие проблемы, если бы такие инсталляторы детектились. Могут, когда хотят?
такое у меня прокатило только с Авирой, их программер со мной связался и уточнил структуру ресурсов
из крупных вендоров оперативно Касперский реагирует
главная проблема — малоизвестные антивирусы, которые вообще никак не реагируют
вроде бы пустяк, но на Virustotal они толпой давят
Здравствуйте, Unhandled_Exception, Вы писали:
U_E>И еще одна идея. Просмотрщик написать на .NET (Metro, WinForms, WPF etc.), использовать его код, как шаблон. При генерации брать этот шаблон и вставлять прямо в код те данные, которые должны отображаться. Я заметил, что к .NET антивирусы более толерантны: может потому что его проще проверять.
это будет бесконечно продолжаться — нашел способ обойти антивирус, через месяц все вернется
по факту ведь все программы так работают — грузят формы и диалоги из ресурсов
если не лезть в систему и в интернет, то что именно вызывает панику у эвристического анализатора?
Здравствуйте, drVanо, Вы писали:
V>Есть предположение, что аверы начинают фолсить при больших размерах RCDATA в ресурсах, думая что это дроппер. Я бы попробовал переделать размещение самих данных, например в конец файла, а в ресурсах бы сохранял файловое смещение на эти данные.
средний объем данных несколько десятков килобайт
дописывать в конец файла пробовал — просекли через несколько дней после релиза
еще пробовал делать zip-архив с файлами и дописывать его в конец exe, чтобы аверы могли его проверить — тоже не нравится
можно пойти дальше и саму структуру EXE править, но это как из пушки по воробъям
сейчас банят сам просмотровщик, т.е. еще до того, как я в него ресурсы пытаюсь добавить
Здравствуйте, T4r4sB, Вы писали:
TB>Твоя программа весит меньше 100 килобайт? Тогда всякое говно типа Авиры будет постоянно лепить фолс позитивы. Как бороться с погаными быдлокодерами, пишущими говняные недоантивирусы — не знаю.
Здравствуйте, CRT, Вы писали:
CRT>А больша́я ли доля пользователей проверяет программу на Virus Total? CRT>Предполагаю что большинство людей использует Windows Defender, либо другие крупные антивирусы, а они насколько понимаю не копируют тупо друг у друга инфу с вирус тотала
у Defender любимый детект Trojan/Win32:Wacatac
логики его срабатывания я не уловил, но жалоб на него много в сети
Здравствуйте, icezone, Вы писали:
I>Здравствуйте, wantus, Вы писали:
W>>Но в подписанный exe можно добавить любое количество данных, сохранив валидность подписи! W>>https://blog.barthe.ph/2009/02/22/change-signed-executable/
I>и после нескольких фолсов получить отзыв сертификата
Здравствуйте, velkin, Вы писали:
V>Свободные IDE и компиляторы не создают трояны, а Visual Studio С++ создаёт. Антивирусник просто знает где собака порылась.
Здравствуйте, rudzuk, Вы писали:
R>Здравствуйте, drVanо, Вы писали:
V>> Есть предположение, что аверы начинают фолсить при больших размерах RCDATA в ресурсах, думая что это дроппер. Я бы попробовал переделать размещение самих данных, например в конец файла, а в ресурсах бы сохранял файловое смещение на эти данные.
Здравствуйте, icezone, Вы писали:
I>Здравствуйте, wantus, Вы писали:
I>>>и после нескольких фолсов получить отзыв сертификата
W>>Это с какого перепуга?
I>было уже такое c Comodo, отзывали сертификат из-за ложного срабатывания на Virustotal
Какой ужас, просто кошмар. И на сколько часто Камодо отзывает сертификаты по результатом ВирусТотала?
Здравствуйте, Aquilaware, Вы писали:
A>Если вы конечно вообще понимаете о чем я говорю.
Это вы не понимаете о чем я вам пишу, а вы продолжаете бредить про какие-то "идентификаторы". Гавноаверы уже придумали для нас кучу своих "идентификаторов", на основе которых они как раз и выносят свои вердикты.
? Похоже что нет.
A>Потому что то, что вы тут извергаете — это какие-то эмоции обиженного.
Я вам приведу простой пример, правда я не уверен что это поможет. Ну а вдруг?
Итак, берем такой язык программирования как бейсик и пишем на нем 2 программы: одна программа не делает ничего плохого (хорошая), а вторая размножается на жестком диске, приклеивая себя к другим EXE-никам (плохая).
Далее засовываем интерпретатор бейсика вместе с закриптованной программой (листинг программы будем XOR-ить случайным ключем, который генерится на стадии "компиляции") в единый EXE. Если вы будете анализировать такие программы только в статике, проверяя только внешние "идентификаторы" в виде сигнатур самого интерпретатора, энтропию массива, где лежит зашифрованный листинг конечной программы, то на выходе своего алгоритма вы получите неопределенность, т.е. вы не сможете отличить хорошую программу от плохой. Но антивирусы в силу своей запрограммированной убогости не могут написать пользователю "извини, я не понимаю есть там вирус или нет", поэтому они перестраховываются и начинают выносить вердикт на основе внешних признаков, которые вы нам и предлагаете изначально использовать! В результате от гавноаверов имеем кучу фолсов на программы, которые ничего плохого на самом деле и не делают.
Как вам такой "мат. анализ", Илон Маск Aquilaware?
Про AppEsteem уже писали в теме? Они на короткой ноге с производителями антивирусов. Ведут свой список программ-"обманщиков", если в него добавляют, то большинство антивирусов это подхватывает (включая Windows Defender!) и добавляют "жертву" в свои базы. Соответственно, у них есть и обратный процесс, что-то типа платной сертификации программы. Они проверяют соблюдение своих требований после чего большинство антивирусов гарантированно не будут на эту программу срабатывать. Можно через них попробовать сертифицироваться, чтобы избежать проблем с антивирусами.
Здравствуйте, drVanо, Вы писали:
I>>сейчас банят сам просмотровщик, т.е. еще до того, как я в него ресурсы пытаюсь добавить
V>Дак я так и не понял — сам просмотровщик подписан сертификатом или нет?
Здравствуйте, JustPassingBy, Вы писали:
JPB>Я бы сделал подписанный просмотрщик (сертификат должен иметь репутацию). Сам просмотрщик должен нормально обрабатывать все версии того, что он там открывает, при необходимости сообщая что нужно обновить. Просмотрщик можно сделать "умнее", например если с ним в одной папке лежит "ваш" файл то сразу открывать его на просмотр — тогда файл и просмотрщик можно отправлять в одном архиве и по идее двойным кликом по .exe сразу все откроется.
Здравствуйте, vsb, Вы писали:
vsb>Перейдите на формат HTML. HTML-файл, открыввается в браузере, в нём ваш отчёт. На JavaScript можно написать любую логику для просмотра и тд.
Не очень понятно, почему мы должны делать какие-то движения из-за говноаверов-обманщиков
Здравствуйте, vsb, Вы писали:
vsb>Перейдите на формат HTML. HTML-файл, открыввается в браузере, в нём ваш отчёт. На JavaScript можно написать любую логику для просмотра и тд.
просто по аналогии — вы картинку или аудиозапись тоже в html будете вставлять?
в идеале мне sqlite нужен
Здравствуйте, Freeze, Вы писали:
F>Здравствуйте, icezone, Вы писали:
F>Про AppEsteem уже писали в теме? Они на короткой ноге с производителями антивирусов. Ведут свой список программ-"обманщиков", если в него добавляют, то большинство антивирусов это подхватывает (включая Windows Defender!) и добавляют "жертву" в свои базы. Соответственно, у них есть и обратный процесс, что-то типа платной сертификации программы. Они проверяют соблюдение своих требований после чего большинство антивирусов гарантированно не будут на эту программу срабатывать. Можно через них попробовать сертифицироваться, чтобы избежать проблем с антивирусами.
слышал про них, но 700 баксов в месяц многовато за их услуги
Здравствуйте, icezone, Вы писали:
vsb>>Перейдите на формат HTML. HTML-файл, открыввается в браузере, в нём ваш отчёт. На JavaScript можно написать любую логику для просмотра и тд.
I>просто по аналогии — вы картинку или аудиозапись тоже в html будете вставлять?
С этим нет никаких проблем. Есть data url, позволяющие кодировать произвольные данные в url. Ну как браузер справится с 200-ГБ фильмом, закодированным таким образом, я не знаю, не пробовал, но с картинками и аудиозаписями проблем не возникнет 100%. Единственный минус — размер слегка раздует из-за base64 кодирования, но вряд ли это так уж страшно.
I>в идеале мне sqlite нужен
sqlite собран под wasm, в современном браузере его можно запустить из JS.
Здравствуйте, icezone, Вы писали:
I>В качестве бонуса имею рандомные детекты AI/ML/Malicious/Suspicious практически для всего софта. I>Никакого способа решения проблемы не вижу.
Думаю, антивирусы смотрят список импортируемых из системных библиотек функций. И есть чёрный список. Или даже несколько списков наборов функций.
Здравствуйте, vsb, Вы писали:
vsb>Перейдите на формат HTML. HTML-файл, открыввается в браузере, в нём ваш отчёт. На JavaScript можно написать любую логику для просмотра и тд.
Ох уж эти теоретики. Предположу, что ТС пользуется FastReport-ом, у которого просмотрщик отчетов буквально идет из коробки. Отчет в виде HTML можно представить не всегда — это например тоже самое, что взять PDF и сконвертировать в HTML, да какая то часть будет выглядеть одинакого, но многие элементы просто уедут со своих мест.
Здравствуйте, icezone, Вы писали:
I>зачем эти веб-сервисы тянуть за уши туда где им не место? I>скоро и калькулятор с блокнотом будут через облако работать
I>я делаю так, как нужно клиентам, а не как сейчас модно
А надо ни то, ни другое, а так, как деньги зарабатываются.
По факту сейчас ваши пользователи страдают при использовании вашего продукта (неважно по чьей причине). Это не является стабильной моделью развития продукта. Пользователь несчастен, когда у его продукта нет стабильной модели развития, разработчик — тем более.
Здравствуйте, icezone, Вы писали:
I>Здравствуйте, wantus, Вы писали:
W>>Какой ужас, просто кошмар. И на сколько часто Камодо отзывает сертификаты по результатом ВирусТотала?
I>не знаю, но они гордятся что уже кучу сертификатов отозвали
Можно посмотреть, где они этим гордятся?
Certificate revocation — это всегда было крайней мерой. Я 100% уверен, что даже такая помойка как Комодо не будет отзывать без веских конкретных доказательств, и ВирусТотал срабатывания такими не является.
Здравствуйте, wantus, Вы писали:
W>Можно посмотреть, где они этим гордятся? W>Certificate revocation — это всегда было крайней мерой. Я 100% уверен, что даже такая помойка как Комодо не будет отзывать без веских конкретных доказательств, и ВирусТотал срабатывания такими не является.
точно на Хабре была статься про отзыв из-за Вирустотал
и здесь кажется это тоже обсуждали
Здравствуйте, drVanо, Вы писали:
V>С другой стороны может быть оно в целом и к лучшему — конечные пользователи постепенно привыкнут, что фолсы — это норма, а антивирусы со временем вымрут как никому не нужный хлам.
по личному опыту 100% детектов оказываются ложными, на мой же софт во время сборки
либо когда я кряки к своим программам изучаю
единственный зловред 0-day, который до меня добрался, на Virustotal не дал ни одного детекта
на следующий день все дружно стали его определять
Здравствуйте, vsb, Вы писали:
vsb>PS я как юзер не стал бы запускать отчёт.exe, кстати. А отчёт.html стал бы. По-моему это вообще максимально странная идея — упаковывать документ в exe-файл, противоречащая всякому здравому смыслу.
но при этом раньше существовали кучи генераторов .exe файлов для создания скринсейверов, слайдшоу, презентаций, электронных книг
и все вымерли из-за антивирусов
Здравствуйте, Maniacal, Вы писали:
M>Думаю, антивирусы смотрят список импортируемых из системных библиотек функций. И есть чёрный список. Или даже несколько списков наборов функций.
там выше ссылка на ПУСТОЙ проект на Delphi — кроме формы никакого кода нет
8 детектов на Virustotal
Здравствуйте, icezone, Вы писали:
I>дождетесь, что и на html с кучей js будут детекты, что тогда будете делать?
HTML запускается в браузере и не имеет доступа к хостовому компьютеру. Поэтому вредоносный код в HTML спрятать практически невозможно. Это практически убирает необходимость в какой-либо проверке HTML со стороны антивирусов, в отличие от exe.
Здравствуйте, wantus, Вы писали:
W>Это они свистят или передергивают факты в свою пользу.
можно посмотреть комменты к статье https://habr.com/ru/articles/455236/
там ответ представителя Comodo есть
W>Раздел 4.9.1.1 — список из 6 причин для отзыва. Единственное, чего подходит — это пункт 6, но там таки нужны конкретные доказательства, а не ля-ля-тополя от вирустотала.
Checking databases such as Virustotal confirmed that a high number of AV scanning engines reported the software as being malicious, and signed with a Sectigo certificate — so we revoked the certificate.
W>Короче, если бы у меня была такая проблема, я бы подписал viewer и вписывал в него клиентские данные. В этом нет ничего криминального и это метод, по которому работает тонна инсталляторов enterprise software, которые позволяют делать customized client deployment. Это абсолютно рутинная практика.
посмотрел как у других сделано — отдельно отчет, отдельно просмотровщик
значит можно забить
Здравствуйте, vsb, Вы писали:
vsb>HTML запускается в браузере и не имеет доступа к хостовому компьютеру. Поэтому вредоносный код в HTML спрятать практически невозможно. Это практически убирает необходимость в какой-либо проверке HTML со стороны антивирусов, в отличие от exe.
но он может майнить биткойны, досить сайты и много еще чего нехорошего
это явное упущение антивирусов
Здравствуйте, mauzer_tim, Вы писали:
_>Вряд ли дело в вирусах на компе, скорее всего некоторые говноаверы так реагируют на 32 битный Дельфи код, 64 битный вызывает у них куда меньше вопросов.
да, раньше на 64-бита не ругались, теперь наоборот, детектов больше чем на 32-битах было
Здравствуйте, Maniacal, Вы писали:
M>Здравствуйте, icezone, Вы писали:
I>>там выше ссылка на ПУСТОЙ проект на Delphi — кроме формы никакого кода нет I>>8 детектов на Virustotal
M>Я на то и намекаю, что даже пустой проект тянет кучу библиотек и функций из них. Перестарались и разработчики Delphi и антивирусников.
можно же по ссылке сходить и посмотреть — 10 системных библиотек, ни одной функции для работы с сетью, но детект так и называется TrojanDownloader
Здравствуйте, icezone, Вы писали:
i> можно же по ссылке сходить и посмотреть — 10 системных библиотек, ни одной функции для работы с сетью, но детект так и называется TrojanDownloader
Может быть связано с тем, что цепляется модуль winapi.wininet (его цепляет что-то из vcl). Имя этого модуля, кроме rtti находится еще и в ресурсе packageinfo. Попробуй удалить этот ресурс.
I>Checking databases such as Virustotal confirmed that a high number of AV scanning engines reported the software as being malicious, and signed with a Sectigo certificate — so we revoked the certificate.
Так Комодо то ему ничего и не ответила. Про ВирусТотал ему написал реселлер сертификатов, который похоже сам залил его бинарник в ВТ и потом начал гадать на этой почве.
Поправка — а, нет, пардон, это таки какой-то перец из Comodo ответил. Это, конечно, полный бардак.
Лейтмотив, однако, тут очевиден — это Комодо. И три года назад. Судя по их CRL они сейчас угомонились (либо им кто-то объяснил, что так себя вести нельзя):
Количество отозванных Комодо code signing certs per year:
Здравствуйте, wantus, Вы писали:
W>Лейтмотив, однако, тут очевиден — это Комодо. И три года назад. Судя по их CRL они сейчас угомонились (либо им кто-то объяснил, что так себя вести нельзя): W>Количество отозванных Комодо code signing certs per year:
мне нравится как сейчас преподносят статистику — большиснтво зловредов на Virustotal подписано сертификатом Sectigo
про ложные срабатывания вообще никто не в курсе
Здравствуйте, rudzuk, Вы писали:
R>Может быть связано с тем, что цепляется модуль winapi.wininet (его цепляет что-то из vcl). Имя этого модуля, кроме rtti находится еще и в ресурсе packageinfo. Попробуй удалить этот ресурс.
Здравствуйте, icezone, Вы писали:
I>мне нравится как сейчас преподносят статистику — большиснтво зловредов на Virustotal подписано сертификатом Sectigo
Цифры в моем предыдущем посте — это просто гистограмма из официального .crl списка Комодо для code signing сертификатов.
Кто чего кому преподносит я честно говоря не понял.
Здравствуйте, wantus, Вы писали:
W>Кто чего кому преподносит я честно говоря не понял.
в новостях пишут что растет число подписанных зловредов на Virustotal и они подписаны именно Sectigo
т.е. авторы даже не понимают, что растет число ложных срабатываний, а не зловредов
Здравствуйте, JustPassingBy, Вы писали:
JPB>Но у вас много детектов, и один оз относительно нормальных антивирей (Malwarebytes) отметился. Может реально есть вирус в системе или сама Delphi заражена, как в свое время был Win32/Induc.A (вроде так).
нет, сами Malwarebytes признали ложное срабатывание, но удалять отказались
по их мнению я должен обновить компилятор и подписать код, фиксить свои косяки они не будут
Здравствуйте, icezone, Вы писали:
I>нет, сами Malwarebytes признали ложное срабатывание, но удалять отказались I>по их мнению я должен обновить компилятор и подписать код, фиксить свои косяки они не будут
Логичнее, наверное, так и поступить. Начать с подписи, как минимум. Продолжать просто жаловаться, толку (с бизнес точки зрения) — минимум/нет. Они (антивири) для себя приняли аналогичное решение — оставить как есть, не исправлять, видимо, для них так финансово выгоднее.
Здравствуйте, JustPassingBy, Вы писали:
JPB>Логичнее, наверное, так и поступить. Начать с подписи, как минимум. Продолжать просто жаловаться, толку (с бизнес точки зрения) — минимум/нет. Они (антивири) для себя приняли аналогичное решение — оставить как есть, не исправлять, видимо, для них так финансово выгоднее.
т.е. детектить код, который ничего не делает, как вредносный — это нормально?
тогда логично ничего не делать по аналогии с мальчиком, который кричал "Волки!"
так было с UAC, так происходит с сертификатами, так будет и с антивирусами
Здравствуйте, JustPassingBy, Вы писали:
I>>тогда логично ничего не делать по аналогии с мальчиком, который кричал "Волки!" I>>так было с UAC, так происходит с сертификатами, так будет и с антивирусами
JPB>Смотря, какая у вас цель. Если зарабатывать, то надо решать вопрос. Если жаловаться на форуме без конкретной конечной цели, то ничего не делать.
мы же про пустой тестовый проект сейчас говорим, какая у него цель?
Здравствуйте, icezone, Вы писали:
I>мы же про пустой тестовый проект сейчас говорим, какая у него цель?
Промужуточная цель — протестировать срабатывание антивирусов, конечная цель — исключить срабатывания антииврусов для основного продукта. Ну это если бы я этим занимался. Можно ничего не делать, а просто ныть.
Здравствуйте, JustPassingBy, Вы писали:
JPB>Промужуточная цель — протестировать срабатывание антивирусов, конечная цель — исключить срабатывания антииврусов для основного продукта. Ну это если бы я этим занимался. Можно ничего не делать, а просто ныть.
имеем результат — проекты на Delphi вызывают кучу детектов
покупать новый компилятор или все бросить и переписывать вообще на другом языке
разумеется можно не ныть, а платить и выполнять все условия шантажистов...
Здравствуйте, mauzer_tim, Вы писали:
_>В VirusTotal жалобу писал? Мне лично это помогало убрать фолс выдаваемый вскими говноаверами, которые мороизились и не отвечали на фолсрепорты.
что-то не догадался, там пара упоротых вроде Rising и Cynet все письма игнорят
надо попробовать
