M>>Хм, а что будет, если не менять существующий файл, а создавать новый? I>а дальше?
как минимум это позволит показать пользователю, что программа работает. Аналогично ситуации с редактированием read-only файла.
I>я понятия не имею сколько в мире такого рода протекторов
По-крайней мере один тебе уже известен.
Насколько я помню в MS Windows есть API для регистрации антивирусов и получения списка таковых.
I>мое дело софт разрабатывать, а не воевать с ветряными мельницами I>по большому счету, это проблема покупателя, а не продавца I>попробует десяток программ — может задумается что проблема в Нортоне
Ты же сам ранее писал, что пользователь в итоге считает виноватым тебя.
Значит нужно подсказать ему о потенциальной проблеме совместимости.
Как я понимаю, единственный способ перестать выглядеть как ransomware для Norton Data Protector — это попасть в white/exclude list, встроенный, либо настроеный пользователем.
Здравствуйте, m2user, Вы писали:
M>Как я понимаю, единственный способ перестать выглядеть как ransomware для Norton Data Protector — это попасть в white/exclude list, встроенный, либо настроеный пользователем.
точнее — попасть в белые списки всех антивирусов, даже тех, которые не отвечают на запросы
Здравствуйте, JustPassingBy, Вы писали:
I>>для этого в файле должен быть бинарный код, который будет исполнен
JPB>Вообще нет, допустим,
I>>Чтобы использовать эксплоит недостаточно аудио или текстового файла, нужен вредоносный код, который получит управление. I>>Без этого мы получим просто падение программы без последствий.
JPB>Вредоносный код как раз и будет в этом (текстовом/аудио/...) файле.
Мы ходим по кругу, вы не заметили?
Парой постов ранее вы утверждали, что вредоносный код в текстовойм файле не нужен.
Здравствуйте, JustPassingBy, Вы писали:
JPB>И да, если аудио/текстовый файл вызывает падение софта, даже без RCE — то антивири вполне логично помечают такое как malware, это 100% вредонос.
Это гениально! Кривая программа не виновата, виноваты данные.
А в чем вредоносность заключается? Я каждый раз этот вопрос антивирусникам задаю, а ответа все нет.
Вот читаю описание "страшного вируса" — он получает управление через сеть и сливает ваши данные на сервера хакера.
Но в моей утилитке из 100 строк нет сетевых функций вообще, она читает конфиг от старой версии моей программы и сохраняет его в новом формате.
Какой идиот объявил ее трояном?
Гугл упорно на протяжении года утверждал что на сайте троян в CSS файле. Техподдержка убирала это сообщение, но робот снова его возвращал.
CSS файл я создавал сам и там тоже было буквально 100 строчек. Все проверки на VirusTotal он спокойно проходил, а в панели AdWords — троян и все тут.
Здравствуйте, icezone, Вы писали:
I>Мы ходим по кругу, вы не заметили? I>Парой постов ранее вы утверждали, что вредоносный код в текстовойм файле не нужен.
Это вы по кругу, с вашим "как антивири посмели детектить аудио файл ведь в нем не может быть исполняемого кода!", я вам просто говорю, что вирусы можно куда угодно запихать и детект какого-нибудь .txt или .mp3 это не всегда дурь.
Здравствуйте, icezone, Вы писали:
I>Это гениально! Кривая программа не виновата, виноваты данные. I>А в чем вредоносность заключается? Я каждый раз этот вопрос антивирусникам задаю, а ответа все нет.
"Кривой" софт нормально работает с нормальными файлами, а если это эксплойт, тут ситуация уже другая. И детектить эксплойты — правильно. Опять же, баг может быть не в самой проге, а в рантайме или где-то еще, да это и не важно. Как бы там ни было — смысл не дать запустить эксплойт на компе пользователя, а не переводить стрелки и искать виноватых.
I>Какой идиот объявил ее трояном?
I>Гугл упорно на протяжении года утверждал что на сайте троян в CSS файле. Техподдержка убирала это сообщение, но робот снова его возвращал. I>CSS файл я создавал сам и там тоже было буквально 100 строчек. Все проверки на VirusTotal он спокойно проходил, а в панели AdWords — троян и все тут.
У вас какое-то нереальное "везение" на фолсы. Ну или это не фолсы, а у вас в системе сидит что-то, что везде пихает малвару, даже в CSS.
Здравствуйте, JustPassingBy, Вы писали:
JPB>Это вы по кругу, с вашим "как антивири посмели детектить аудио файл ведь в нем не может быть исполняемого кода!", я вам просто говорю, что вирусы можно куда угодно запихать и детект какого-нибудь .txt или .mp3 это не всегда дурь.
в файле только текст, как его можно детектировать как вирус?
вы сами признали что вредоносный код должен быть в файле
Здравствуйте, JustPassingBy, Вы писали:
JPB>"Кривой" софт нормально работает с нормальными файлами, а если это эксплойт, тут ситуация уже другая. И детектить эксплойты — правильно. Опять же, баг может быть не в самой проге, а в рантайме или где-то еще, да это и не важно. Как бы там ни было — смысл не дать запустить эксплойт на компе пользователя, а не переводить стрелки и искать виноватых.
переполнение буфера — это классический баг в софте, чем он отличается от эксплоита?
JPB>У вас какое-то нереальное "везение" на фолсы. Ну или это не фолсы, а у вас в системе сидит что-то, что везде пихает малвару, даже в CSS.
фолсы подтверждены всеми сторонами, т.е. в моей системе ничего нет и не было
многие просто и не в курсе, сколько фолсов у них находят
антивирусы убили два моих продукта, поскольку они генерировали exe файлы
я об этом уже рассказывал на этом форуме
Здравствуйте, icezone, Вы писали:
I>в файле только текст, как его можно детектировать как вирус? I>вы сами признали что вредоносный код должен быть в файле
Вот да, payload в текстовом файле будет детектиться. И это необязательно именно исполняемый код, это может быть что угодно, смотря, какая уязвимость используется.
Здравствуйте, icezone, Вы писали:
I>переполнение буфера — это классический баг в софте, чем он отличается от эксплоита?
Баг это некорректная работа программы. Эксплойт — это использование этого бага сторонними лицами для каких-то целей. Я ж говорю, вам почитать и ознакомиться с темой надо.
I>антивирусы убили два моих продукта, поскольку они генерировали exe файлы I>я об этом уже рассказывал на этом форуме
Наверное, надо было переделать, ну там пусть эти файлы делались бы на вашем сервере и подписывались сертификатом. Да и, 7zip и Winrar же генерят self-extracting archives и ничего, вроде.
