Комментарии 62
Как вариант - упаковка с шифрованием. Если файл зашифрован, то все файлы будут на вид как белый шум. И тогда либо антивирус должен ругаться на все файлы, либо ни на один.
А ключ где будет храниться?
ну можно использовать не полноценное шифрование, а какой-нибудь побайтовый xor с результатом стандартного rand() от seed равного последнему байту файла. Все равно будет шум
Тут проблема не в том, что файл сжат или зашифрован. А в том, что использовался готовый упаковщик UPX, и им же пользовались некоторые хацкеры для "защиты" своих поделий. А антивирусники просто проверяют начало файла: совпадает с "образцом" — есть детект.
Они конечно знают, что это generic упаковщик, но им лень нормально разбираться. Упаковка исполнимых файлов — дело маргинальное, и серьёзные фирмы не страдают. А если какой-то Васян что-то упаковал, так это наверное неспроста, он что-то прячет, на всякий случай задетектим как "Generic Malicious/Suspicious"
Ну такой себе подход для серьезных антивирусных фирм . "На всякий случай" получать false positive.
Лучше, чем пропустить реальную угрозу.
Скажите спасибо, что не ругаются вообще на любое приложение без цифровой подписи. А то ведь большие дяди к этому и идут постепенно. Драйвер, например, уже без подписи не загрузишь.
"А веревку свою приносить?"
"Ничего личного, просто бизнес".
"Отключат газ" - перейдем на Linux. Хотя есть еще 7-ка, 10-ка в резерве.
ReactOS в конце концов к тому времени допилят )
Вы как хотите, а я пожалуй останусь на "народной" ос, под которую и игры выходят, и всякий софт поддержки для гаджетов. Я скорее найду "хак", который позволит мне запускать всё на своей винде без проверки подписи.
Так-то есть большой опыт кастомизации и сосуществования с проприетарными платформами, типа WinCE или Android (который я предпочитаю от вендора девайса, а не "чистый" из исходников, из-за лучшей поддержки оборудования).
"Народная" — это которая?
Наиболее популярная у населения.
Спасибо, но это тавтология. Если не хотите либо не можете ответить, то и не надо, не обижусь.
Я подразумевал Windows. Не самой свежей версии. То есть, сейчас наверное в народе Windows 10 самая массовая, и на ней и я сижу. Это ответ к вопросу о переходе на Linux.
А, понятно. Я думал, Вы имеете в виду конкретную версию. Просто, очень похоже, мне предстоит всё-таки мигрировать с XP, на котрой я до сих пор ухитряюсь сидеть, но обстоятельства додавливают. И выбираю, на куда мигрировать.
10-11 вообще не рассматриваются, как слишком далеок ушедшие по направлению "за тебя всё решает корпорация, а ты просто кнопки тыкай"
мне предстоит всё-таки мигрировать с XP
И эти люди что-то там жужжали про меня с моей "семёркой"!
на котрой я до сих пор ухитряюсь сидеть, но обстоятельства додавливают. И выбираю, на куда мигрировать.
Как выберете — опытом со мной поделитесь?
10-11 вообще не рассматриваются, как слишком далеко ушедшие по направлению "за тебя всё решает корпорация, а ты просто кнопки тыкай"
Это какой-то штамп. Если менять винду раз в 5 лет, можно день потратить на пересборку её под себя. Удалить все облачные мульки типа Windows Store и OneDrive. Естественно, полностью вырезать Windows Defender.
Есть готовые утилитки для пересборки. Например, nLite (хотя я пользовался им ещё для XP, но актуальные версии выходят). Но вообще, утилиты ком. строки для препарации инсталлятора — официальные от MS, можно их изучить.
Если совсем не хочется тратить своё время, можно взять сборку с торрентов от Васяна с максимально порезанной виндой. Всё лучше, чем WinXP.
Нет ощущения, что лучше. На работе у меня стояла 7ка, потом 10ка, сейчас 11я какая-то стоит, не вижу вообще ничего, что было бы удобнее. Ну кроме тех программ, которые на XP уже не стартуют, но зато новые версии некоторых старых программ поменяли UI, убили UX и стали невменяемыми, а аналогов некоторых старых программ просто нет.
Например, вот я написал 'njn ntrcn цкщтп дфнщге — на моей XP я исправляю обе части одним нажатием, ru->en и en->ru; на 10/11 такой программы нет, исправлять приходится по отдельности каждую часть, а значит, надо держать в голове текущую раскладку и язык. Ну или FAR 3, в котором не работают старые плагины, а новых толком нет. Даже простейшего быстрого перехода в сохранённые папки — ну или я не нашёл. И так далее. Когда работаешь на хорошо отлаженной и заточенной под себя системе 20 лет, переходить на убогое поделие стрёмно.
Но, увы, время подходит — комп уже не тянет навороченные сайты, и браузеры для нынешних сайтов всё труднее подобрать.
Нет ощущения, что лучше. На работе у меня стояла 7ка, потом 10ка, сейчас 11я какая-то стоит, не вижу вообще ничего, что было бы удобнее
Я люблю последнее самое мощное железо: быстрые видюшки, процессоры, памяти побольше, поэтому на XP (или 7-ке) никак не могу оставаться.
Ну или FAR 3, в котором не работают старые плагины
О, это отдельная тема. Мне было довольно сложно перейти, но я завершил переход вроде без потерь. Всему нашлась замена, или удалось намакросить самому на встроенном LUA. Посмотрите ещё раз plugring, очень может быть, что нужный вам плагин уже портирован или переписан.
Даже простейшего быстрого перехода в сохранённые папки — ну или я не нашёл
Это со 2-й версии не поменялось:
RCtrl+Shift+[1-9] — запомнить папку (поставить закладку)
RCtrl+[1-9] — перейти на закладку
Единственное, что если не включен auto-save параметров, надо нажать Shift+F9 для сохранения всех текущих настроек в профиль.
plugring смотрел, разумеется, не нашёл
Закладки в самом FAR реализрованы неудобно, ещё и помнить нужно.
Был плагин Directory Hotlist — любое количество закладок, удобное редактирование, быстрые клавиши и так далее
В FAR3 под хоткей можно повесить любое количество директорий. Если директория одна, сразу переходит в неё. А если несколько, показывает менюшку, из которой можно выбрать. И в том же меню добавлять/удалять директории под этой кнопкой, менять их порядок.
Что ещё для счастья нужно?
Разве что нет иерархии. Иерархию можно намакросить на UserMenu (F2).
Однажды связывался с разработчикам антивирусов. У всех один ответ: мы работаем по белому списку. Т. е. не существует никакой логики, почему та или иная прога считается вирусом - если что-то подозрительное, то сразу бракуется.
Зачем вообще UPX-ить exe-шники?
Я понимаю, во времена дискет, это было критично, чтобы прога уместилась на дискету и запускалась оттуда. Но сейчас-то, для передачи по сети обычный архив куда лучше подходит. А запускать сжатые файлы — стрелять себе в ногу. Потому что несжатый файл просто маппится в память, без физической загрузки секторов, и подгружается прозрачно теми страницами, к которым идёт обращение (а если файл запущен в нескольких экземплярах, сегмент кода шарится между процессами). Сжатый файл при запуске приходится полностью вычитать с диска в память.
Эти файлы с начала 2000-х. Но там и непакованные файлы детектятся.
запускать сжатые файлы — стрелять себе в ногу.
Вот так троянские слоны и появляются.
кстати, вот здесь рассказано, как искусственное "раздутие" файла до 700Мб позволило избежать проверки файла антивирусом. Так что да.
в 2020х годах упаковывать приходится из-за многих факторов, но со своего дилетантского ума могу пояснить только один.
дисковая производительность.
для старых систем с медленными hdd может быть критично важно сэкономить милисекунды.
а для современных но маломощных, как планшеты с виндой или тонкие клиенты или пороговые пластиковые ноутбуки для школьников вопрос места актуален. как и яисла обращений к накопителю данных.
ты говоришь, кому надо упаковывать.
компании мелкомягких пришлось для дешевых устройств с 16-32 гб флеш памяти изобрести целую технологию работы винды из сжатого образа с грубо говоря ссылками на архив, назывпется wimboot.
дисковая производительность
Так я об этом и пишу! Если у нас есть какой-нибудь chrome.dll размером 120MB, то обработанный UPX-ом (и сжатый до 75MB) при запуске с диска он гарантированно считает все 75MB, а не сжатый просто отмапится в память и будет ждать, когда выполнится первая функция, и считает страницы кода только из-под неё, и дальше будет подчитывать страницы по мере выполнения новый функций. Можно пожаловаться на медленное рандомное чтение, но в винде давно есть сервис prefetch, который составляет типичный профиль чтения с дисков каждого приложения и при старте приложения в фоне последовательно подчитывает ровно те страницы, которые типично читаются при запуске приложения.
Щас бы пользоваться браузерами, которые каким либо образом сканируют твои собственные файлы. И кто знает, куда он отправляет результат.
Ну и как тут можно избавиться от ложных срабатываний? Видимо самый реальный путь — это подобрать упаковщик ехешника, такой чтобы не было срабатываний
я думаю, что примерно так же и вирусописатели борются с неложными срабатываниями )
Не нужно пользоваться браузерами, которые заточены для того, что бы "оперкать овец в удобных загонах для стрижки".
А что, Яндекс настолько суров, что лезет в стандартные файловые диалоги и туда дописывает свои страшилки?
Так он просто переименовал расширение файла на .infected, и поставил соответствие к своему браузеру, чисто на одно окошко.
Раз:
Все как в рекламе для олдов про тётю Асю:
-А когда у мы так делаем, у нас попа отваливается, рубашка рвется!
-А вы так не делайте!
Два:
Современная антивирусная кухня, это не снайперская сигнатурня стрельба по комариным тестикулам абы не плодилась нечисть, а ковровые бомбардировки эвристиков, решительные танковые клинья дженериков и минные поля проактивной защиты при зомби-апокалеписе. Таким образом, если какой-то полусумасшедший краснокнижный зайчишка по заветам древних зайцев упаковался упэиксом, то он сам себе злобный буратино и, в некотором роде, полис-суицидник, потому что лазерная турель его теперь распознает не как зайчишку, а как коварного зомби косящего под зайчишку.
Три:
Сжимать исполняемые файлы в 2023 это так же странно, как сушить мытые целофановые пакетики над плитой или штопать чулки. А сжимать исполняемые файлы скриптового движка, это еще более странное вроде коллекционирования усов тараканов. Т.е. "кейс" очень редкий, а потому малоучитываемый ибо зомби на пороге и не до сук.
Четыре:
Но, автор, если у вас есть на руках детект без упэикса, то это гораздо более интересный случай, ибо тянет на отдельную драму.
это так же странно, как сушить мытые целофановые пакетики над плитой
Да, зачем сушить их над плитой? Пластик горячего воздуха не любит, искривляется. Подвесил за уголок на балконе — сам великолепо высохнет.
(уходит, ворча) Вот так выбрасывают-выбрасывают пакетики, выбрасывают-выбрасывают — а потом жалуются, что в океане мусорное пятно из пластика. А кто это сделал?
Касперский как антивирь неадекватен полностью. Ругается на WinSCP, блокирует приложение если попытаться встроить в него защиту (полностью самописную), при этом игнорирует реальные угрозы, те же RAT'ы. Намного лучше использовать встроенный (если про винду говорить) и соблюдать цифровую гигиену.
Что-то мой Каспер ни разу не жаловался на WinSCP
мой Каспер ни разу не жаловался
Ну он же дружелюбное привидение!
Столкнулся с этим при использовании WinSCP в приложении .net.
У меня настойчиво и несмотря на исключения удаляет python.exe из окружения conda. Причем восстанавливать из карантина отказывается.
После последнего раза снес нафиг, больше не хочу дел иметь.
А попробуйте этот перенести на Вин11 (может и 10) - там очень жёсткий антивирус, удаляет файлы сразу в карантин.
https://www.safezone.cc/threads/kuda-soobschit-o-lozhnom-srabatyvanii-antivirusa.23501/
Вот тут список вендоров с емейлами, куда можно слать сообщения о ложных срабатываниях.
Надо написать скриптик, который автоматом рассылает указанные файлы по этим адресам.)
Здравствуйте,
Это было ошибочное срабатывание: RAPIDQ4-0.LIB
Оно будет исправлено. Благодарим Вас за помощь.
Ну вот, Касперский ответил.)
И еще раз ответил
-------------------
Здравствуйте,
Остальные файлы не являются вредоносными и не детектируются.
http://www.kaspersky.com https://securelist.com
https://opentip.kaspersky.com/ - актуальная информация о подозрительных файлах, URL, IP-адресах и доменных именах
__________________________________________
Sent: 7/26/2023 11:50:27 AM (UTC)
To: newvirus@kaspersky.com
Subject: Re: false positive [KL-1957627]
Так там и второй архив был, там разные файлы lib, тоже все чистые!
RAPIDQ2.LIB
RAPIDQ2C.LIB
RAPIDQ3.LIB
RAPIDQ32.LIB
RAPIDQ3C.LIB
RAPIDQ4.LIB
RAPIDQ4C.LIB
RAPIDQCC.LIB
RAPIDQ4.LIB-0
----------------------------
Спасибо, Kaspersky!
Вот надо теперь остальным вендорам письма счастья разослать.
Ни один емейл с репортами о false positive не доставлен.
<report@sentinelone.com>: host aspmx.l.google.com[173.194.222.26] said: 552-5.7.0 This message was blocked because its content presents a potential 552-5.7.0 security issue. Please visit 552-5.7.0 https://support.google.com/mail/?p=BlockedMessage to review our 552 5.7.0 message content and attachment content guidelines. j10-20020ac2454a000000b004fe255fa49fsi702058lfm.467 - gsmtp (in reply to end of DATA command)
<fp_reports@elastic.co>: host aspmx.l.google.com[2a00:1450:4010:c01::1a] said:
552-5.7.0 This message was blocked because its content presents a potential
552-5.7.0 security issue. Please visit 552-5.7.0
https://support.google.com/mail/?p=BlockedMessage to review our 552 5.7.0
message content and attachment content guidelines.
t5-20020ac25485000000b004fe1e956084si1383559lfk.322 - gsmtp (in reply to
end of DATA command)
Не очень понятно прием тут google. Почта-то не google.
Ни один емейл с репортами о false positive не доставлен.
так образцы надо класть в архив с паролем, пароль указывать в теле письма
ниже написали, что с гуглом не пройдёт
Не очень понятно прием тут google. Почта-то не google.
https://mxtoolbox.com/SuperTool.aspx?action=mx%3aelastic.co&run=toolpage
Какие типы файлов блокируются в Gmail
Письмо в Gmail может быть заблокировано по ряду причин. Чтобы предотвратить распространение вирусов, в Gmail запрещено отправлять письма с исполняемыми файлами или подозрительными ссылками.
Письма с прикрепленными файлами
Чтобы вас от вирусов и вредоносного ПО, в Gmail запрещено пересылать файлы определенного типа, а именно:
файлы из списка запрещенных, включая сжатые (например, GZ или BZ2) и помещенные в архив (например, ZIP или TGZ);
документы с вредоносными макросами;
архивы, содержащие архивы и защищенные паролем.
Все, что нужно знать об антивирусных сканерах