Комментарии 353
Выложите, пожалуйста, ссылку на результат проверки злополучного файла VirusTotal.com
Хочется посмотреть на другие глюкоантивирусы :)
Хочется посмотреть на другие глюкоантивирусы :)
Классный сервис, раньше не знал про такой, спасибо!
В результатах всё чисто, кроме NOD32:
www.virustotal.com/ru/analisis/76fd945ca5fd8ebdf11536686a6234eaeb475a996260ea62da41099d647e16d6-1260222900
В результатах всё чисто, кроме NOD32:
www.virustotal.com/ru/analisis/76fd945ca5fd8ebdf11536686a6234eaeb475a996260ea62da41099d647e16d6-1260222900
Да, один в поле не воин. Мне даже жалко NOD32
Похоже видна причина ложного срабатывания — Вы используете упаковщик, PECompact?
Думаю если отказаться от него, то и NOD32 перестанет неправильно реагировать на файл, ибо в 99% случаев виноваты именно упаковщики
Вообще не так давно на одном форуме были бурные дискуссии вокруг данного вопроса
Выводы из тех обсуждений:
1) лучше не сжимать exe, минусов куча, а плюсов всего один-два
2) если компактная версия-таки нужна, то предоставлять пользователю на выбор упакованный и неупакованный вариант. В данном случае для людей с NOD-ом как раз, похоже, нужен второй
Похоже видна причина ложного срабатывания — Вы используете упаковщик, PECompact?
Думаю если отказаться от него, то и NOD32 перестанет неправильно реагировать на файл, ибо в 99% случаев виноваты именно упаковщики
Вообще не так давно на одном форуме были бурные дискуссии вокруг данного вопроса
Выводы из тех обсуждений:
1) лучше не сжимать exe, минусов куча, а плюсов всего один-два
2) если компактная версия-таки нужна, то предоставлять пользователю на выбор упакованный и неупакованный вариант. В данном случае для людей с NOD-ом как раз, похоже, нужен второй
упаковщик UPX. Пробовал и без него, тот же эффект
Очень интересная история. Я пока что обращался по поводу ложного детектирования только в Лабораторию Касперского, причём пока что всегда успешно — проблема решалась в кратчайшие сроки (в ближайших обновлениях баз)
Исключение — один последний случай, правда связан он с вредоносным скриптом, а не с программами. Я наткнулся на ситуацию, когда javascript не детектировался KIS-ом! Самое же интересное, что достаточно было скопировать этот код скрипта из html-кода странички той страницы и попробовать сохранить или попытаться переслать и т.п., то KIS на него реагировал. Я переслал код и ссылку на ту злополучную страничку специалистам, пару дней мы обменивались письмами, но потом всё заглохло
То что это баг внутри системы детектирования — однозначно. То, что я так и не получил ответа, посчитали это багом, будут ли исправлять или же махнут рукой «остальные случаи детектируются, а 1 случай из миллиона при каком-то странном стечении обстоятельств не распознаётся — мелочь, недостойна нашего внимания» — весьма печально :( Этот скриптик был безобидный, но если потом при каком-то стечении обстоятельств у меня таким же чудесным образом опасный троян-даунлоадер под носом продуктов Касперского пройдёт? o_O
Ая-яй… Ребята из ЛК, вы меня малость разочаровали…
PS: кстати, на Хабрахабре ещё не было топика про обращение по поводу ложных детектов в службу поддержки различных фирм-производителей антивирусных решений? Такая бы информация, собранная в одном месте, была бы очень полезной, а то на многих сайтах не найдёшь куда писать-то по таким вопросам
Исключение — один последний случай, правда связан он с вредоносным скриптом, а не с программами. Я наткнулся на ситуацию, когда javascript не детектировался KIS-ом! Самое же интересное, что достаточно было скопировать этот код скрипта из html-кода странички той страницы и попробовать сохранить или попытаться переслать и т.п., то KIS на него реагировал. Я переслал код и ссылку на ту злополучную страничку специалистам, пару дней мы обменивались письмами, но потом всё заглохло
То что это баг внутри системы детектирования — однозначно. То, что я так и не получил ответа, посчитали это багом, будут ли исправлять или же махнут рукой «остальные случаи детектируются, а 1 случай из миллиона при каком-то странном стечении обстоятельств не распознаётся — мелочь, недостойна нашего внимания» — весьма печально :( Этот скриптик был безобидный, но если потом при каком-то стечении обстоятельств у меня таким же чудесным образом опасный троян-даунлоадер под носом продуктов Касперского пройдёт? o_O
Ая-яй… Ребята из ЛК, вы меня малость разочаровали…
PS: кстати, на Хабрахабре ещё не было топика про обращение по поводу ложных детектов в службу поддержки различных фирм-производителей антивирусных решений? Такая бы информация, собранная в одном месте, была бы очень полезной, а то на многих сайтах не найдёшь куда писать-то по таким вопросам
Ещё вариант — по телефонам позвоните, а то мало ли, может затерялось письмо
кстати, на Хабрахабре ещё не было топика про обращение по поводу ложных детектов в службу поддержки различных фирм-производителей антивирусных решений?
Обращались в Avira с ложным срабатыванием на скрипт на нашем сайте.
Первый раз добавили сигнатуру (в тот же день).
После обновления сайта проблема повторилась, снова исправили практически сразу.
Больше проблема не повторяется (видать, поправили у себя эвристику)
Потому, что легче решить это с Вашей стороны. Думаю у них много таких обращений — и на каждое ставить «костыль» — трудоемко и безсмысленно.
Понятна позиция обеих сторон:
Им не хочеться ковырять код ради отдельных приложений.
Вам не хочеться ковырять и оптимизировать, если все и так работает.
Думаю будет оптимально, если более ясно обьяснят, что может быть у Вас не так.
Удачи в борьбе) Ждемс продолжения)
Понятна позиция обеих сторон:
Им не хочеться ковырять код ради отдельных приложений.
Вам не хочеться ковырять и оптимизировать, если все и так работает.
Думаю будет оптимально, если более ясно обьяснят, что может быть у Вас не так.
Удачи в борьбе) Ждемс продолжения)
У вас кардинально неправильная позиция.
Единственное, что «это» значит, что у НОДа ложные срабатывания эвристики. И вина в этом на антивирусе, он перестарался. Разработчик софта тут не виноват. И «костыли» тут ни при чём, к чему их вообще упоминать?
Непонятна как раз позиция. Девелоперам сообщают о ложных срабатываниях, а им «влом ковырять»?? И за что они тогда деньги берут?
Единственное, что «это» значит, что у НОДа ложные срабатывания эвристики. И вина в этом на антивирусе, он перестарался. Разработчик софта тут не виноват. И «костыли» тут ни при чём, к чему их вообще упоминать?
Непонятна как раз позиция. Девелоперам сообщают о ложных срабатываниях, а им «влом ковырять»?? И за что они тогда деньги берут?
Я лично код НОДа и данного приложения не видел, но думаю вполне могли возникнуть какие-то «конфликты». Вродь подобных обращений в интернетах не видел.
Процент пользователей НОДа, которые используют данное приложение, думаю, достаточно низок. Аналогично — под «альтернативные» браузеры, процент использования которых меньше 0,01 тоже никто не верстает.
Костыли — в данном случае на каждый релиз вешать отдельное правило в белый лист. Думаю это не выход.
Процент пользователей НОДа, которые используют данное приложение, думаю, достаточно низок. Аналогично — под «альтернативные» браузеры, процент использования которых меньше 0,01 тоже никто не верстает.
Костыли — в данном случае на каждый релиз вешать отдельное правило в белый лист. Думаю это не выход.
Угу не выход. Поэтому кому-то в задачи нужно поставить, чтобы он проверил эвристику на это программе.
я в какой-то степени с тобой согласен, пользуюсь авастом, и тоже было ложное срабатывание на одну из програм. понятное дело, я не могу требовать чтобы немедленно переделали антивирус, я вообще ничего не могу от них требовать, так как пользуюсь бесплатной версией.
нод же требует денег за продукт, значит должны исправлять работу, даже если проблема в одном человеке.
нод же требует денег за продукт, значит должны исправлять работу, даже если проблема в одном человеке.
Тогда стоит пересмотреть пользовательское соглашение. Наверняка там обходят эти моменты.
а вот это уже интересно и правильно. странно, что в переписке нигде не упоминается, что «согласно пользовательскому соглашению, в ситуациях ложного срабатывания пользователь должен то-то и вон ещё то».
может действительно не заложено?
самое неприятное в данной ситуации, что не айтишники в такой ситуации реально считают, что там вирус -1 юзвер у программы. не все знают что такое эвристический анализ.
может действительно не заложено?
самое неприятное в данной ситуации, что не айтишники в такой ситуации реально считают, что там вирус -1 юзвер у программы. не все знают что такое эвристический анализ.
>«альтернативные» браузеры, процент использования которых меньше 0,01
это lynx чтоли?
это lynx чтоли?
Например maxthon. Пишут, что на движке ИЕ7(если не ошибаюсь). Но практика показывает, что иногда отображает совсем иначе от ие6 и ие7.
покажите пруф сайт
не может ie7 показывать по другому чем ie7
не может ie7 показывать по другому чем ie7
Действительно был такой случай, что верстка отображалась нормально во всех браузерах.
У начальника стоял maxthon и у него ползли определенные блоки — по поводу этого были споры.
К сожалению сейчас сходу не вспомню на каком именно сайте и какие именно блоки. Если найду — кину.
Сходу могу провести аналогию. Safari и Chrome тоже на одном движке. Но различия тоже встречаются;)
У начальника стоял maxthon и у него ползли определенные блоки — по поводу этого были споры.
К сожалению сейчас сходу не вспомню на каком именно сайте и какие именно блоки. Если найду — кину.
Сходу могу провести аналогию. Safari и Chrome тоже на одном движке. Но различия тоже встречаются;)
Я и не против у себя код поправить (не в ущерб функционалу конечно), не было никаких конструктивных предложений по этому поводу со стороны сотрудников eset, вот в чем ситуация.
В принципе есть идеи для экспериментов, что поправить, чтобы срабатывания исчезли, и может когда-нибудь я до них доберусь и покопаю, уже без помощи eset
В принципе есть идеи для экспериментов, что поправить, чтобы срабатывания исчезли, и может когда-нибудь я до них доберусь и покопаю, уже без помощи eset
И сразу гадить. Лучше бы написали в чем не прав.
с тех пор как другие антивирусы стали считать нод32 вирусом, я не рискую устанавливать его себе в систему. А подобный сервис укрепляет позицию.
Не придираюсь, но просто интересно: чем он так плох с Вашей точки зрения?
резко повысившаяся в последних версиях прожорливость ресурсов, надоедливость, подобные ложные срабатывания, и всё чаще и чаще стали попадаться клиенты, которые пропустили вирус, несмотря на лицензионный нод32 с последними базами.
А еще он блокирует некоторые сайты якобы как вредоносные, хотя на них просто ключи к нему выкладываются!
о_О
всю жизнь по 1 ссылке в гугле прохожу и не ругнулся.
нод, кстати, с недавнего времени купил, ибо ключи быстро «портиться» стали, это да.
всю жизнь по 1 ссылке в гугле прохожу и не ругнулся.
нод, кстати, с недавнего времени купил, ибо ключи быстро «портиться» стали, это да.
Поставили бы бесплатный Microsoft Security Essentials и все.
Который официально в России будет представлен только в 2010 году ))) Да и вообще официально считается бесплатным антивирусным сканером для самых бедных пользователей и находится в самой начальной стадии развития
У меня он тоже прекрасно работает. Однако это не означает, что Microsoft разрешила его использовать в России (хотя и не запретила)
«Что за бред?» — я же сказал, что так он позиционируется самой Microsoft
«Жрать не просит» — как сказать, пользователями уже был замечен грешок по пожиранию оперативной памяти в самом начале сканирования (кажется полного сканирования). Ну и конечно у бесплатного продукта и скорость проверки файлов посредственная, со сравнению с гигантами
«Что за бред?» — я же сказал, что так он позиционируется самой Microsoft
«This is really focused on the 50 to 60 percent (of PC users) who don't have, or won't pay for, anti-virus protection, anti-malware protection,» Amy Barzdukas, senior director of product management for Microsoft's Online Services and Windows Division, told Reuters in an interview.
«Жрать не просит» — как сказать, пользователями уже был замечен грешок по пожиранию оперативной памяти в самом начале сканирования (кажется полного сканирования). Ну и конечно у бесплатного продукта и скорость проверки файлов посредственная, со сравнению с гигантами
Когда за 15 секунд процесс пожирает 75% всей ОЗУ — разница очень заметна :) Это обычно называется «утечка памяти»
Со скоростью я имею в виду скорость проверки одного файла, ранее не сканировавшегося. Для MSE это где-то полсекунды-секунда. Если учесть, что файлов у нынешних пользователей десятки тысяч, а то и миллионы, то невольно призадумаешься…
Со скоростью я имею в виду скорость проверки одного файла, ранее не сканировавшегося. Для MSE это где-то полсекунды-секунда. Если учесть, что файлов у нынешних пользователей десятки тысяч, а то и миллионы, то невольно призадумаешься…
про прожорливость ресурсов не скажу, ибо не замечаю, надоедливость тоже за ним не замечал.
а вот про то, что он пропускает — есть такое. на днях AnVir ругнулся, что в автозагрузке что-то появилось новое, причем именно в тот момент, когда качал что-то с варезника. А потом заметил, что в hosts новые записи относительно одноклассников и вконтакте.
а вот про то, что он пропускает — есть такое. на днях AnVir ругнулся, что в автозагрузке что-то появилось новое, причем именно в тот момент, когда качал что-то с варезника. А потом заметил, что в hosts новые записи относительно одноклассников и вконтакте.
Через сайт варезника, похоже, и словили.
у NOD32 маленький процент обнаружения уже обосновавшихся в системе угроз. Неприлично маленький, что-то около 20%. Ссылки не будет, но где-то полгода назад читал это в обзоре какого-то специализированного издания. Сейчас, возможно, ситуация изменилась в какую-либо сторону.
+1
и что в этом страшного? любой антивирус это такой былинный руткит в перемешку с кучей очень низкого кода, что его любая эвристика должна запалить
Если не секрет — на что вы его «променяли»? :)
чем пользуетесь?
кстати, nod с некоторых пор считает содержимое cureit вирусом и при попытки запуска прибивает exe, который пытается запуститься
они так друг друга гнобят, поскольку cureIT тоже считает нод вирусом, но доверять ему я сначала не спешил и проверял другими пакетами. После того как и другие стали считать его вирусом, я попросту снес и забыл про него.
ну вообщето два антивируса одновременно не рекомендуется запускать.
При установке обычно об этом пишется явно.
хотя аваст с симантеком у меня както не дрались особо
При установке обычно об этом пишется явно.
хотя аваст с симантеком у меня както не дрались особо
это то конечно ясно )
но раньше таким образом получалось как бы сканировать сразу 2мя антивирями — дрвеб сканировал, нод подхватывал и кто быстрее удалит были соревнования )
но раньше таким образом получалось как бы сканировать сразу 2мя антивирями — дрвеб сканировал, нод подхватывал и кто быстрее удалит были соревнования )
была у меня история, когда пришле знакомой комп посмотреть.
у нее после лого виндов появлялось приветствие, мигал синий экран и ребут.
оказалось одна дочь поставила нод, другая каспера и те побили друг другу дллки системные.
у нее после лого виндов появлялось приветствие, мигал синий экран и ребут.
оказалось одна дочь поставила нод, другая каспера и те побили друг другу дллки системные.
большой, ржавый гвоздь в крышку гроба eseta
Чисто теоретически техподдержка ответила вам грамотно и правильно. Как я понял, вирус в файле не обнаружен, просто используются опасные функции или выполняются потенциально опасные действия в вашей программе.
Есть над чем подумать.
Есть над чем подумать.
«Здравствуйте.
Вам не говорили, что Ваша программа не содержит вирус.
…
Если Ваш пользователь позвонит с данной проблемой, он получит точно такой же ответ — как в предыдущем письме — то что данная программа является вредоносной и он может установить ее, добавив в Исключения под свою ответственность.
...»
где же тут правильно и грамотно? А в файле обнаруживается (удаляется и блокируется) именно «Неизвестный NewHeur_PE»
Вам не говорили, что Ваша программа не содержит вирус.
…
Если Ваш пользователь позвонит с данной проблемой, он получит точно такой же ответ — как в предыдущем письме — то что данная программа является вредоносной и он может установить ее, добавив в Исключения под свою ответственность.
...»
где же тут правильно и грамотно? А в файле обнаруживается (удаляется и блокируется) именно «Неизвестный NewHeur_PE»
«Техническая» поддержка должна была подсказать что-то по починке программы. А вот «юридическая» поддержка должна была грамотно переводить стрелки на разработчика, запугивать и игнорировать неудобные вопросы.
Удивительно еще что после фразы «И я уведомляю вас, что в целях повышения качества, ваши ответы на мои письма будут доступны пользователям программы и будут опубликованы на сайте программы.» разработчик не был послан в пешее эротичское путешествие.
Удивительно еще что после фразы «И я уведомляю вас, что в целях повышения качества, ваши ответы на мои письма будут доступны пользователям программы и будут опубликованы на сайте программы.» разработчик не был послан в пешее эротичское путешествие.
Чем с юридической стороны грозит опубликование переписки при условии, что написавший не давал никаких обязательств eset? А тайна переписки в российском законодательстве весьма туманно (http://bankir.ru/technology/article/1367747)
Насколько я знаю (тоже одно время активно изучал этот вопрос, но «я не адвокат») — в данном случае нет нарушения тайны переписки, со стороны автора поста, потому что для него эта переписка как раз таки не тайна. Тайной она является для всех кроме отправителя и получателя, но не для самих участников переписки, так что и нарушить тайну переписки, участник в принципе не может.
Тайна переписки, это если я отправлю со своего личного ящик на ваш личный ящик письмо.
Если человек обращается в службу поддержки компании и не устанавливается в тексте, что это личная переписка, а тем более, что ttols ПРЕДУПРЕЖДАЕТ о том, что переписка будет доступна публично — все чисто и законно, я бы даже ФИО саппорта не маскировал, т.к. он в нашем случае представляет не себя, а сотрудника компании
Если человек обращается в службу поддержки компании и не устанавливается в тексте, что это личная переписка, а тем более, что ttols ПРЕДУПРЕЖДАЕТ о том, что переписка будет доступна публично — все чисто и законно, я бы даже ФИО саппорта не маскировал, т.к. он в нашем случае представляет не себя, а сотрудника компании
на картинке орфографическая ощибка
gramota.ru/slovari/dic/?word=%EE%F2%F1%F3%F2%F1%F2%E2%E8%E5&all=x
это есет такое нарисовал?
gramota.ru/slovari/dic/?word=%EE%F2%F1%F3%F2%F1%F2%E2%E8%E5&all=x
это есет такое нарисовал?
Я думаю дело решится, когда вы побеседуете с более компетентными людьми. Удачи вам.
Товарищ из техподдержки невменяемый, а Вам удачи, поскольку нод установлен у многих и подозреваю, что этот косяк очень Вам неприятен.
Я уверен, что решение придет :)
Я уверен, что решение придет :)
1) Попробовал сам в своё время нод, после сочетания Usegate и нодовской папки Temp в 5 гигов… всё таки подумал о чём нибудь другом.
2) На рабочей машине при обновлённых базах — нод находит вирь — грит удалил… снова находит — удалил… после скачивания CureIt — от виря и следов не осталось…
2) На рабочей машине при обновлённых базах — нод находит вирь — грит удалил… снова находит — удалил… после скачивания CureIt — от виря и следов не осталось…
Стоимость вашего ПО выше стоимости среднестатистического NOD'a работающего у ваших пользователей? Если выше и намного, может быть имеет смысл, при покупке или апгреде предлагать им переход на другой антивирус, с компенсацией неиспользованных месяцев NOD'a?
Как я понял это freeware: «Проект веду чуть больше полугода и распространяю продукт свободно.»…
мда, не заметил, тогда всё сложнее
да, ПО бесплатное, так что в каком-то смысле даже проще. Рекомендую пользователям переходить на другой антивирус бесплатно, и напоминаю, что многие антивирусы за переход часто дают скидки :)
Тогда можно сразу, во избежание проблем в будущем, предлагать переходить на Ubuntu ;)
И пользователям даже за другой антивирус платить не придётся. Только вам нужно будет продукт кроссплатформенным сделать, если об этом сразу не позаботились.
И пользователям даже за другой антивирус платить не придётся. Только вам нужно будет продукт кроссплатформенным сделать, если об этом сразу не позаботились.
Судя по находкам в гугле, ваша программа системной утилитой не является, но существует только под Win. Зачем было ограничивать пользователей одной системой? Подумайте о маководах и линуксоидах. ;)
невнимательно читали. Он пишет, что программу распространяет бесплатно :)
Программу возможно подписать электронным ключем. Возможно Вам стоит этим озаботиться этим вопровом и поговорить с nod-вцами относительно политики, применяемой к подписанным доверенными CA программам?
В общем посмотрите на signtool из пакета .netfx.
В общем посмотрите на signtool из пакета .netfx.
Думаете АВ не трогают подписанные сертификатом модули? На вес по идее должно влиять, но очень сомнительно, что предусмотрели этот момент. В целом же, ваш совет адекватен, автору стоит прислушаться в любом случае.
Просто далеко нетривиально верифицировать степень доверия сертификату в данном случае. Самоподписанного ПО может быть куча, тут же надо проследить до корня и верифицировать корень. А если корень был добавлен самой малварью? Отсюда и сомнения на счет того, что АВ пойдут на уступки подписанному ПО.
Да как то не уверен, что это решение. Я бы никогда на их месте не пошел. Это бы обозначало дать зеленый свет на любой код в будущих версиях программы только из-за наличия подписи
Я имел в виду, что в силу ваших интересов и направления развития стоит в целом задуматься относительно code signing certificate :) Что это не панацея от АВ — факт, а в целом поможет вам, особенно в забугорье.
Я бы никогда на их месте не пошел.
а они пошли…
ну по сути это примерно тоже, что и добавить в исключения. эта опция выбирается на стороне клиента
бинго!
какое простое решение, но как облегчает жизнь разработчику и пользователю! теперь нет необходимости сканить большую часть системных файлов (microsoft подписывает), «белых» драйверов и еще кучи софта, разработчик которого нашел время и деньги на получение code signing certificate. а ежели в такой софт прокрадется малварь то всегда известно к кому и куда отправлять «бригаду», да и законы нынче позволяют за такое наказать достаточно строго, поэтому никто не будет сознательно подписываться под вредоносным ПО, ибо черевато. и именно поэтому подписанному нормальным сертификатом софту можно верить.
как, кстати, NOD на подписанное ПО реагирует не знаю. если никак то им стоит брать пример с касперского, имхо
какое простое решение, но как облегчает жизнь разработчику и пользователю! теперь нет необходимости сканить большую часть системных файлов (microsoft подписывает), «белых» драйверов и еще кучи софта, разработчик которого нашел время и деньги на получение code signing certificate. а ежели в такой софт прокрадется малварь то всегда известно к кому и куда отправлять «бригаду», да и законы нынче позволяют за такое наказать достаточно строго, поэтому никто не будет сознательно подписываться под вредоносным ПО, ибо черевато. и именно поэтому подписанному нормальным сертификатом софту можно верить.
как, кстати, NOD на подписанное ПО реагирует не знаю. если никак то им стоит брать пример с касперского, имхо
Совсем не то же. Даже «примерно». См. мой комментарий ниже
Вы не путайте подозрительную активность с вредоносным кодом. Это разные вещи. И в исключения данная галочка ничего не помещает
Еще раз. В сотый. Сигнатурный анализ — провален. Существующие АВ — полный неадекват. Происходящее вокруг промо АВ — омерзительно и бестолково.
Нашел малварю забавную, вижу пинч с оберткой, кинул новость на хабру. Вылез товарищ из доктора, попросил сабмит к ним. Сделал сабмит, сигну добавили. На следующий день нахожу малварю этого же вендора с другим врапом. Тот же пинч. Доктор уже не палит. Сделать еще сабмит? Мир сошел с ума.
С каждым новым сигнатурным сабмитом увеличивается вероятность фальш-срабатывания. Господа DrWeb / KAV / NOD32, вы это понимаете? Чем больше ваши базы, тем больше вероятность того, что опять какой-нить Inno Setup попадет к вам и будет эпик фейл с over 9000 ПО под IS? Я думаю, Касперский и МакАффи помнят свой фейлы?
Нашел малварю забавную, вижу пинч с оберткой, кинул новость на хабру. Вылез товарищ из доктора, попросил сабмит к ним. Сделал сабмит, сигну добавили. На следующий день нахожу малварю этого же вендора с другим врапом. Тот же пинч. Доктор уже не палит. Сделать еще сабмит? Мир сошел с ума.
С каждым новым сигнатурным сабмитом увеличивается вероятность фальш-срабатывания. Господа DrWeb / KAV / NOD32, вы это понимаете? Чем больше ваши базы, тем больше вероятность того, что опять какой-нить Inno Setup попадет к вам и будет эпик фейл с over 9000 ПО под IS? Я думаю, Касперский и МакАффи помнят свой фейлы?
О! Нам открыли глаза! Это все теория заговора и вендоры специально так делают, а один умный человек, не будем показывать на него пальцем, и так все знает и умеет. А раз он такой умный — почему он такой бедный? Где его публикации, патенты и прочее?
Брррх. Ну будучи представителем DrWeb, будьте немного адекватнее. Я на самом деле немного перегнул палку и отлично осознаю что там (в том числе и у вас) не бараны сидят, но политика меня напрягает ваша. Почему развитие HIPS идет столь медленно, а сигнатурный анализ будучи дико бредовой затеей процветает?
Ну вы ведь сами затрахались уже брать очередную зверюку (причем одну и туже), разбираться что там с оберткой вокруг нее и вносить в базу? Да, работа все равно радует — потому что не совсем рутина, но ведь бредово?
Я далек от андеграунда в этом направлении, с темой знаком достаточно поверхностно, но ситуацию вижу и меня это не может не напрягать.
Кичатся публикациями и патентами часто АВ, это да ) Об этом и шла речь, когда я говорил про достаточно забавное «промо». Поверьте, я тоже не лыком шит, но мне для этого не нужно делать вид что мой софт работает под nix/macosx и полезен.
Ну вы ведь сами затрахались уже брать очередную зверюку (причем одну и туже), разбираться что там с оберткой вокруг нее и вносить в базу? Да, работа все равно радует — потому что не совсем рутина, но ведь бредово?
Я далек от андеграунда в этом направлении, с темой знаком достаточно поверхностно, но ситуацию вижу и меня это не может не напрягать.
Кичатся публикациями и патентами часто АВ, это да ) Об этом и шла речь, когда я говорил про достаточно забавное «промо». Поверьте, я тоже не лыком шит, но мне для этого не нужно делать вид что мой софт работает под nix/macosx и полезен.
То есть просто поговорить пришли. Ничего, людей, которые что-то действительно могут предложить и сделать — все равно единицы :-)
Толсто. Ей богу толсто. Все-таки, IT-люди дико амбициозные в большинстве своем и когда разговор сводится к понтам и переходу на личности — становится грустно.
Здесь мало кто узнает лого в моем аватаре, потому что большинство из default-city, но многим он знаком, ровно как и никнейм (это не связанные вещи). Давайте не будем так.
Здесь мало кто узнает лого в моем аватаре, потому что большинство из default-city, но многим он знаком, ровно как и никнейм (это не связанные вещи). Давайте не будем так.
Если проблема NOD32 — низкая компетентность, то проблема DrWeb — низкая адекватность. Все давно привыкли и юзают Авиру.
Я констатирую факты. Пришли сказать что-то по делу — так говорите :-)
Не зная пользователя naum, ни его лого, его речь явно адекватнее вашей.
Меня пока не очень парит то, что в лого паучка в систем трее мне подсвечивается 855553 вирусных записи ВОСЕМЬСОТ ПЯТЬДЕСЯТ ТЫСЯЧ с хвостиком, я представляю процессы, происходящие в момент работы DrWeb.
Меня так же пока не напрягает 20 секундное замирание компьютера в момент обновления баз, которое происходит 4 раза в сутки.
Меня напрягает динамика роста вирусных баз. Реально же — потолок адекватности вашего ПО скоро будет достигнут.
Меня пока не очень парит то, что в лого паучка в систем трее мне подсвечивается 855553 вирусных записи ВОСЕМЬСОТ ПЯТЬДЕСЯТ ТЫСЯЧ с хвостиком, я представляю процессы, происходящие в момент работы DrWeb.
Меня так же пока не напрягает 20 секундное замирание компьютера в момент обновления баз, которое происходит 4 раза в сутки.
Меня напрягает динамика роста вирусных баз. Реально же — потолок адекватности вашего ПО скоро будет достигнут.
Поменять архитектуру Windows например и систему изоляции приложений — вот мое предложение. Память процесса надежно защищена от соседей (если у них нет доступа к /dev/memory или как там оно называется), а файлы на диске и личные данные пользователя (да и тот же /etc/hosts :) ) — нет.
Что-то мне подсказывает, что вот из за таких деятелей, которые вот так лезут в память чужого процесса и считают это нормальным, в Виндовс и не могут наконец поменять архитектуру полностью. Понятно там антивирус, дебаггер, профилировщик лезет в память чужого процесса, ему можно дать админа или он может даже драйвер для этих целей установить, но вот пользовательское приложение не должно вот таким образом поступать. В особенности опасна запись в память чужого приложения.
А то, что Микрософт вынуждено потокать таким разработчикам, которые так поступают, делает Виндовс уязвимым для множества весёлых троянов. Вот возьмет Микрософт, да и отпилит наконец эти функции, тогда что? Лезть в nativeAPI?
Ругайтесь лучше с quik'ом на тему того, почему они не дают нормальное API для взаимодействия. Хотя мне про них много нехорошего рассказывали
А то, что Микрософт вынуждено потокать таким разработчикам, которые так поступают, делает Виндовс уязвимым для множества весёлых троянов. Вот возьмет Микрософт, да и отпилит наконец эти функции, тогда что? Лезть в nativeAPI?
Ругайтесь лучше с quik'ом на тему того, почему они не дают нормальное API для взаимодействия. Хотя мне про них много нехорошего рассказывали
> Господа DrWeb / KAV / NOD32, вы это понимаете?
При чем тут KAV?
KAV — это продукт от Kaspersky Lab.
>Почему развитие HIPS идет столь медленно, а сигнатурный анализ будучи дико бредовой затеей процветает?
KIS — апогей HIPS'a на данный момент.
При чем тут KAV?
KAV — это продукт от Kaspersky Lab.
>Почему развитие HIPS идет столь медленно, а сигнатурный анализ будучи дико бредовой затеей процветает?
KIS — апогей HIPS'a на данный момент.
HIPS, говорите? О да, верх технической мысли:) Помнится мне, много смеялся над реакцией KIS на GetDC(0) и некоторыми неадекватами, что говорили, мол квип ворует скриншоты рабочего стола.
и хипс, и сигнатуры — не панацея. Хотя согласен, хипс поумнее будет
и хипс, и сигнатуры — не панацея. Хотя согласен, хипс поумнее будет
>Помнится мне, много смеялся над реакцией KIS на GetDC(0) и некоторыми неадекватами, что говорили, мол квип ворует скриншоты рабочего стола.
Это случайно не тогда, когда Вам наглядно показали, что на обычный GetDC(0) КИС не ругается, а Вы забанили автора? Как же, как же, помним, помним…
Это случайно не тогда, когда Вам наглядно показали, что на обычный GetDC(0) КИС не ругается, а Вы забанили автора? Как же, как же, помним, помним…
Хм. Наглядно? пруф?
З.Ы. Подозреваю, что вы не читали мою первый топик на хабре;) рекомендую ;)
З.Ы. Подозреваю, что вы не читали мою первый топик на хабре;) рекомендую ;)
«Пруф» Вы заботливо удалили перед баном автора.
Я, заметьте, не утверждаю, что квип ворует персональные данные, и что автор того топика был прав, я лишь делаю замечание, что высмеивать «реакцию KIS на GetDC(0)» (да ещё и талдычить именно это при каждом удобном случае) — некрасиво, т.к. на простое GetDC(0) он не ругается. Но Вам ведь куда удобнее повторять именно это — ведь так автор того топика будет выглядеть более смехотворно, а Вы — весь в белом.
Я, заметьте, не утверждаю, что квип ворует персональные данные, и что автор того топика был прав, я лишь делаю замечание, что высмеивать «реакцию KIS на GetDC(0)» (да ещё и талдычить именно это при каждом удобном случае) — некрасиво, т.к. на простое GetDC(0) он не ругается. Но Вам ведь куда удобнее повторять именно это — ведь так автор того топика будет выглядеть более смехотворно, а Вы — весь в белом.
1. заботливо я удалил «пруф»-код, обходящий файрволл, ничего общего с сабжем не имеющий. Мне этого на форуме не надо. Остальное осталось целым и незыблимым.
2. Реагирует именно на GetDC(0), в чем вы можете убедиться, почитав мою статью тут. если вам долго ее искать — прицитирую самое важное:
3. Высмеиваю — потому что так есть всегда. Реакция такая против программ-скриншотеров, тем не менее если бы кис развернул стек чуть подальше и посмотрел, а нет ли сохранения памяти на винт или отправки в сеть — тогда есть факт «кражи» скрина. Этого нет. Любой вызов GetDC(0) детектируется именно так. Если вы все еще сомневаетесь — я в любое время могу это доказать.
4. Ни разу не пытаюсь выставить себя в белом свете. Я понимаю, что софт не идеален. Более того, я всегда это понимаю и никогда не говорю, что софт Х — говно. Все пишется людьми, везде есть ошибки. Где-то фатальные, где то нет. Если могу — помогаю с исправлением. К сожалению, вместо того, чтобы помочь мне в устранении такого поведения автор начал разбрызгивать слюну и обвинять нас в связи с ZOG. Я высмеиваю такое поведение.
2. Реагирует именно на GetDC(0), в чем вы можете убедиться, почитав мою статью тут. если вам долго ее искать — прицитирую самое важное:
Обладатели KIS не раз приходили к нам на форум с криками "вы воруете наши скриншоты!" Было очень смешно (товарищ persei не даст соврать, смеялись мы вместе над этим цирком). Когда пытаешься объяснить людям, что касперский не зря помещает QIP в доверенные, что «скриншот» часто применяется в GUI и страшного в этом ничего нет — в ответ вижу только непонимание и упорство в недоверии. (замечу, что кричат в основном те, кто квипом собственно говоря и не пользуются). Те, кому интересно почему это происходит, что делать и кому жаловаться — почитайте например тут, тут и потом тут. Можете даже посоветоваться со знакомыми программистами, действительно ли это так:)
3. Высмеиваю — потому что так есть всегда. Реакция такая против программ-скриншотеров, тем не менее если бы кис развернул стек чуть подальше и посмотрел, а нет ли сохранения памяти на винт или отправки в сеть — тогда есть факт «кражи» скрина. Этого нет. Любой вызов GetDC(0) детектируется именно так. Если вы все еще сомневаетесь — я в любое время могу это доказать.
4. Ни разу не пытаюсь выставить себя в белом свете. Я понимаю, что софт не идеален. Более того, я всегда это понимаю и никогда не говорю, что софт Х — говно. Все пишется людьми, везде есть ошибки. Где-то фатальные, где то нет. Если могу — помогаю с исправлением. К сожалению, вместо того, чтобы помочь мне в устранении такого поведения автор начал разбрызгивать слюну и обвинять нас в связи с ZOG. Я высмеиваю такое поведение.
>Реагирует именно на GetDC(0), в чем вы можете убедиться, почитав мою статью тут.
Убедиться в том, что реагирует именно на GetDC(0) — прочитав статью? Вы уверены, что статья — это то самое, что помогает убедиться?
>Любой вызов GetDC(0) детектируется именно так. Если вы все еще сомневаетесь — я в любое время могу это доказать.
«Спасибо — слишком много, 5 рублей вполне достаточно» © :)
Небольшой кусочек кода, когда простой GetDC(0) («без сохранения памяти на винт или отправки в сеть») вызовет панику у КИС снимет все вопросы куда лучше всяких там «статей». Раз и навсегда.
>К сожалению, вместо того, чтобы помочь мне в устранении такого поведения автор начал разбрызгивать слюну и обвинять нас в связи с ZOG.
Всё было бы так, если бы не было иначе. Первый же Ваш ответ в той теме не располагал к конструктивной дискуссии («зачем нам ваши скриншоты? о_О обои ваши изучать?», «Если он параноик, то пусть не пользуется»), но это сугубо ИМХО и Ваше лично дело и неотъемлемое право, дискутировать на эту тему не хочу и не буду.
Лучше давайте вернёмся к образцу кода, который раз и навсегда снимет все претензии. Окошко, кнопочка — GetDC(0) — «уи-и-и-и!!!!»
Пол-экрана кода вместе со всей инициализацией (если я ещё не совсем забыл WinAPI).
Убедиться в том, что реагирует именно на GetDC(0) — прочитав статью? Вы уверены, что статья — это то самое, что помогает убедиться?
>Любой вызов GetDC(0) детектируется именно так. Если вы все еще сомневаетесь — я в любое время могу это доказать.
«Спасибо — слишком много, 5 рублей вполне достаточно» © :)
Небольшой кусочек кода, когда простой GetDC(0) («без сохранения памяти на винт или отправки в сеть») вызовет панику у КИС снимет все вопросы куда лучше всяких там «статей». Раз и навсегда.
>К сожалению, вместо того, чтобы помочь мне в устранении такого поведения автор начал разбрызгивать слюну и обвинять нас в связи с ZOG.
Всё было бы так, если бы не было иначе. Первый же Ваш ответ в той теме не располагал к конструктивной дискуссии («зачем нам ваши скриншоты? о_О обои ваши изучать?», «Если он параноик, то пусть не пользуется»), но это сугубо ИМХО и Ваше лично дело и неотъемлемое право, дискутировать на эту тему не хочу и не буду.
Лучше давайте вернёмся к образцу кода, который раз и навсегда снимет все претензии. Окошко, кнопочка — GetDC(0) — «уи-и-и-и!!!!»
Пол-экрана кода вместе со всей инициализацией (если я ещё не совсем забыл WinAPI).
код тривиален. посмотрите это chatlogs.jabber.ru/miranda-im@conference.jabber.ru/2009/01/06.html#12:45:10.53331
получаем «процесс пытается получить права отладчика»
если надо именно то, что описывалось в сабже — достаточно сваять проект в любой среде и в любом месте написать GetDC(0), включив параноидальный режим в КИС
Первый же ответ сначала задал наводящие вопросы чтобы выяснить проблему, а дальше личное мнение, на которое я имею право. И дискутировать на эту тему я тоже не буду ;)
получаем «процесс пытается получить права отладчика»
если надо именно то, что описывалось в сабже — достаточно сваять проект в любой среде и в любом месте написать GetDC(0), включив параноидальный режим в КИС
Всё было бы так, если бы не было иначе. Первый же Ваш ответ в той теме не располагал к конструктивной дискуссии («зачем нам ваши скриншоты? о_О обои ваши изучать?», «Если он параноик, то пусть не пользуется»), но это сугубо ИМХО и Ваше лично дело и неотъемлемое право, дискутировать на эту тему не хочу и не буду.
Первый же ответ сначала задал наводящие вопросы чтобы выяснить проблему, а дальше личное мнение, на которое я имею право. И дискутировать на эту тему я тоже не буду ;)
>код тривиален. посмотрите это chatlogs.jabber.ru/miranda-im@conference.jabber.ru/2009/01/06.html#12:45:10.53331
получаем «процесс пытается получить права отладчика»
Вот видите, это было совсем не больно :)
Конкретный код — это как-то более внятно и понятно, нежели заверения «ну зачем нам ваши скриншоты» и «неужели мы стали бы портить себе репутацию».
P.S.: однажды я таки раздобуду комп с виндой и каспером и проверю этот код самостоятельно, но на данном этапе верю Вам на слово :)
получаем «процесс пытается получить права отладчика»
Вот видите, это было совсем не больно :)
Конкретный код — это как-то более внятно и понятно, нежели заверения «ну зачем нам ваши скриншоты» и «неужели мы стали бы портить себе репутацию».
P.S.: однажды я таки раздобуду комп с виндой и каспером и проверю этот код самостоятельно, но на данном этапе верю Вам на слово :)
А нафиг он нужен этот GetDC(0), это случаем не тот костыль для софтварной прозрачности? Мне так казалось, что начиная с win2k уже появилась настоящая, 8битная прозрачность
Всегда удивляла эта фраза «настоящая 8битная прозрачность». Это вообще применительно к чему? К иконкам? К layered окнам? К transparentBlt и AlphaBlend?
Есть такая вещь, как обратная совместимость. Часть библиотек, которые мы используем в своем проекте написана также с поддержкой вин9х. Перелопачивать over 9000 строк стороннего кода только чтобы успокоить кис от параноидального поведения желания нет. Тестировать это все — нет времени (особенно когда со всех сторон просят всякие фишечки, которые в разы важнее). В частности, VirtualTreeView копирует содержимое под хинтом перед показом (да, этот компонент до сих пор юзают для прог под 9х), чтобы отрисовка тривью была быстрее за счет буфферизации. Кроме того, некоторый код необходимо юзать вместе с GetDC и не потому, что лень искать варианты, а потому, что по-другому просто не работает если использовать native api. И уйти от этих костылей нет возможности — придется переписывать львиную долю RTL, VCL, кода библиотек. И все это чтобы все было тру до выхода следующей винды.
Это что касается почему мы до сих пор юзаем GetDC в то время, когда все прогрессивное человечество юзает тру 8битную прозрачность.
Что касается софтварной прозрачности. Прозрачность разная бывает. Одно дело наложить полупрозрачный спрайт (png, ико или 32битный битмап) на картинку. Другое дело сделать полупрозрачное окно. Третье — сделать окно со скругленными краями без использования регионов, да еще чтобы работало на любой винде.
Что касается костылей — покажите мне софт, где нет ни одного костыля, будет хоть на кого равняться
Есть такая вещь, как обратная совместимость. Часть библиотек, которые мы используем в своем проекте написана также с поддержкой вин9х. Перелопачивать over 9000 строк стороннего кода только чтобы успокоить кис от параноидального поведения желания нет. Тестировать это все — нет времени (особенно когда со всех сторон просят всякие фишечки, которые в разы важнее). В частности, VirtualTreeView копирует содержимое под хинтом перед показом (да, этот компонент до сих пор юзают для прог под 9х), чтобы отрисовка тривью была быстрее за счет буфферизации. Кроме того, некоторый код необходимо юзать вместе с GetDC и не потому, что лень искать варианты, а потому, что по-другому просто не работает если использовать native api. И уйти от этих костылей нет возможности — придется переписывать львиную долю RTL, VCL, кода библиотек. И все это чтобы все было тру до выхода следующей винды.
Это что касается почему мы до сих пор юзаем GetDC в то время, когда все прогрессивное человечество юзает тру 8битную прозрачность.
Что касается софтварной прозрачности. Прозрачность разная бывает. Одно дело наложить полупрозрачный спрайт (png, ико или 32битный битмап) на картинку. Другое дело сделать полупрозрачное окно. Третье — сделать окно со скругленными краями без использования регионов, да еще чтобы работало на любой винде.
Что касается костылей — покажите мне софт, где нет ни одного костыля, будет хоть на кого равняться
>Всегда удивляла эта фраза «настоящая 8битная прозрачность». Это вообще применительно к чему? К иконкам? К layered окнам? К transparentBlt и AlphaBlend?
Ну видимо к окнам :) Честно, в винАПИ я незнаю, что за это отвечает, а в Qt это выставляется двумя флагами.
>Кроме того, некоторый код необходимо юзать вместе с GetDC и не потому, что лень искать варианты, а потому, что по-другому просто не работает если использовать native api.
В VCL напрямую используют native API? О.о
>Что касается софтварной прозрачности. Прозрачность разная бывает. Одно дело наложить полупрозрачный спрайт (png, ико или 32битный битмап) на картинку. Другое дело сделать полупрозрачное окно. Третье — сделать окно со скругленными краями без использования регионов, да еще чтобы работало на любой винде.
Вам ещё везёт, что только на любой винде. Скажите спасибо, что ненадо проверять работоспособность кода на X11 с композитным режимом и без, Macos X, directFB, Symbian, недавно вот qutIM вообще на Haiku портировали, блин мне и представить даже страшно, на каких платформах это попытаются скомпилировать и запустить.
Сейчас вот пытаюсь понять, отчего под Вин7 появились проблемы с ARGB окошком, почему то при нужных флагах(во всех других системах работало) всёравно получается чёрный фон, впрочем выкрутился, воспользовавшись интерфейсов aero.
>Что касается костылей — покажите мне софт, где нет ни одного костыля, будет хоть на кого равняться
helloworld
ibash.org.ru/quote.php?id=11334
Ну видимо к окнам :) Честно, в винАПИ я незнаю, что за это отвечает, а в Qt это выставляется двумя флагами.
>Кроме того, некоторый код необходимо юзать вместе с GetDC и не потому, что лень искать варианты, а потому, что по-другому просто не работает если использовать native api.
В VCL напрямую используют native API? О.о
>Что касается софтварной прозрачности. Прозрачность разная бывает. Одно дело наложить полупрозрачный спрайт (png, ико или 32битный битмап) на картинку. Другое дело сделать полупрозрачное окно. Третье — сделать окно со скругленными краями без использования регионов, да еще чтобы работало на любой винде.
Вам ещё везёт, что только на любой винде. Скажите спасибо, что ненадо проверять работоспособность кода на X11 с композитным режимом и без, Macos X, directFB, Symbian, недавно вот qutIM вообще на Haiku портировали, блин мне и представить даже страшно, на каких платформах это попытаются скомпилировать и запустить.
Сейчас вот пытаюсь понять, отчего под Вин7 появились проблемы с ARGB окошком, почему то при нужных флагах(во всех других системах работало) всёравно получается чёрный фон, впрочем выкрутился, воспользовавшись интерфейсов aero.
>Что касается костылей — покажите мне софт, где нет ни одного костыля, будет хоть на кого равняться
helloworld
ibash.org.ru/quote.php?id=11334
Ну видимо к окнам :) Честно, в винАПИ я незнаю, что за это отвечает, а в Qt это выставляется двумя флагами.
Случаи разные, все что описал в той или иной мере у нас присутствует. А Qt — ну так весь гуи сделан отдельно и не зависит от платформы:) Кстати замечательная архитектура. Когда то ковырял CLX код в делфи, сигналы в qt штука однозначно интереснейшая.
В VCL напрямую используют native API? О.о
Ну да, все классы являются оберткой над WinAPI. кроссплатформенностью тут и не пахнет:) (и слава богу, честно говоря. отлаживать все это еще и под никсы — упаси боже)
Вам ещё везёт, что только на любой винде. Скажите спасибо, что ненадо проверять работоспособность кода...
У каждого инструмента свои проблемы и свои рюшечки ;) Пока не столкнешься с архитектурными ограничениями всегда есть иллюзия, что можно сделать все и правильно :)
Сейчас вот пытаюсь понять, отчего под Вин7 появились проблемы с ARGB окошком
Возможно, из за формата цвета. В делфи есть большая проблема под названием TColor он же COLORREF — первый байт не прозрачность, а байт совместимости палитры. Поэтому единственный цвет для прозрачности — черный. Мне еще предстоит это победить:)
>А Qt — ну так весь гуи сделан отдельно и не зависит от платформы:)
Что значит «не зависит от платформы»? о_О
Не зависит лишь API, который юзается пользователями либы, но реализация либы для винды и никсов сделана совершенно по-разному, и как раз таки зависит от целевой платформы.
Что значит «не зависит от платформы»? о_О
Не зависит лишь API, который юзается пользователями либы, но реализация либы для винды и никсов сделана совершенно по-разному, и как раз таки зависит от целевой платформы.
ну. я имел в виду, что единожды написав гуи приложения на qt — уже не нужно затачивать под ос. Сами виджеты само собой реализуются конкретной платформой по разному.
сказал некорректно, сорри
сказал некорректно, сорри
Там немножко хитрее:
Для каждой платформы пишется своя графическая система, которая использует доступные на платформе средства для рендеринга (есть и кроссплатформенные граф системы типа openGL или openVG).
Потом для каждой платформы пишется бэкенд для всяких событий клавиатуры/мыши и так далее, для управления окнами, процессами, в самой Qt также существуют какие то дополнительные флаги для платформ, которые на других просто игнорируются. То есть в конечном итоге приложение, в отличии от java, можно заточить под конкретную платформу, использовав её нативные возможности. У нас так aero интеграция приделана. Просто прямой вызов пары winAPI методов, отделённый дефайном и вынесенный в отдельный класс.
Для каждой платформы пишется своя графическая система, которая использует доступные на платформе средства для рендеринга (есть и кроссплатформенные граф системы типа openGL или openVG).
Потом для каждой платформы пишется бэкенд для всяких событий клавиатуры/мыши и так далее, для управления окнами, процессами, в самой Qt также существуют какие то дополнительные флаги для платформ, которые на других просто игнорируются. То есть в конечном итоге приложение, в отличии от java, можно заточить под конкретную платформу, использовав её нативные возможности. У нас так aero интеграция приделана. Просто прямой вызов пары winAPI методов, отделённый дефайном и вынесенный в отдельный класс.
возможно, настолько глубоко я не вдавался в подробности. Давно это было, еще в 2002 году:) тогда и qt то другой был:)
>Ну да, все классы являются оберткой над WinAPI.
NativeAPI!=WinAPI
ru.wikipedia.org/wiki/Windows_NT#Native_API
en.wikipedia.org/wiki/Native_API
Грубо говоря это некое «внутреннее» API, в основном ядерное, с некоторыми юзерспейс вызовами, winAPI реализовано поверх него. При этом архитектурно заложена возможность поверх nativeAPI реализовывать, к примеру, POSIX.
От того я так и удивился.
>Мне еще предстоит это победить:)
Я надеюсь к релизу это сами Тролли победят, если нет, тогда буим изобретать воркараунды.
>кроссплатформенностью тут и не пахнет:) (и слава богу, честно говоря. отлаживать все это еще и под никсы — упаси боже)
А иногда бывает очень приятно, когда без твоих усилий твою прогу собрали на платформе, которую ты и в глаза никогда не видывал.
qt-haiku.ru/images/rsgallery/original/qutIM02beta.jpg
library.forum.nokia.com/topic/Qt_for_Symbian_Developers_Library/GUID-B47A32F5-D2BD-4615-BB60-09E8FA7D7925_d0e20427_href.png
Да и иногда отлаживать под конкретную платформу нам всё же помогают пользователи этой платформы. Хотя не всегда, чаще народ просто требует мол, «соберите». Отмазаться, как в случае с просьбой Квипа под Линукс, понятно дело, не получится. Помню на форуме из за этого серьезные холиворчики получались. Некоторые люди считают, что мы им чем то обязаны
NativeAPI!=WinAPI
ru.wikipedia.org/wiki/Windows_NT#Native_API
en.wikipedia.org/wiki/Native_API
Грубо говоря это некое «внутреннее» API, в основном ядерное, с некоторыми юзерспейс вызовами, winAPI реализовано поверх него. При этом архитектурно заложена возможность поверх nativeAPI реализовывать, к примеру, POSIX.
От того я так и удивился.
>Мне еще предстоит это победить:)
Я надеюсь к релизу это сами Тролли победят, если нет, тогда буим изобретать воркараунды.
>кроссплатформенностью тут и не пахнет:) (и слава богу, честно говоря. отлаживать все это еще и под никсы — упаси боже)
А иногда бывает очень приятно, когда без твоих усилий твою прогу собрали на платформе, которую ты и в глаза никогда не видывал.
qt-haiku.ru/images/rsgallery/original/qutIM02beta.jpg
library.forum.nokia.com/topic/Qt_for_Symbian_Developers_Library/GUID-B47A32F5-D2BD-4615-BB60-09E8FA7D7925_d0e20427_href.png
Да и иногда отлаживать под конкретную платформу нам всё же помогают пользователи этой платформы. Хотя не всегда, чаще народ просто требует мол, «соберите». Отмазаться, как в случае с просьбой Квипа под Линукс, понятно дело, не получится. Помню на форуме из за этого серьезные холиворчики получались. Некоторые люди считают, что мы им чем то обязаны
Не путайте слово «умный» и «хитро*****»
Я так понимаю, коммент все прочли, никто ничего не понял. Но выглядит умно, поэтому дали плюс.
Автор, 99% что палит из-за EurekaLog на вашем софте. Замените его на другой хандлер (madExcept, допустим). У хандлеров маленький стаб, часто на асме + трейсеры есть и дизасм длин встроенный. Вероятнее всего видит именно его.
Не, точно не эврика. Я её во всех проектах использую, и в этом с первой версии, ещё до того, как NOD находил в программе вирус
Ради эксперимента, снимите эврику, сделайте билд (также запакуйте его) и прогоните на вирустотале.
Кстати, зачем вам упаковка? Это ведь дикий провал. Прошли 90-е. Вы пакуете UPX? Он использует LZMA, тот же LZMA используется наверняка в вашем инсталляторе. В итоге размер дистрибутива не меняется. А размер продеплоенного приложения не особо важен (там разница пара, имхо, тем более, что упакованный UPX модуль будет чуть дольше ворочаться в памяти при старте.
Кстати, зачем вам упаковка? Это ведь дикий провал. Прошли 90-е. Вы пакуете UPX? Он использует LZMA, тот же LZMA используется наверняка в вашем инсталляторе. В итоге размер дистрибутива не меняется. А размер продеплоенного приложения не особо важен (там разница пара, имхо, тем более, что упакованный UPX модуль будет чуть дольше ворочаться в памяти при старте.
на всякий случай проверю эту комбинацию. Но без запаковки тоже срабатывает. UPX примерно в 3 раза уменьшает размер исходного exe, но вы правы, это не имеет значения. До упаковки программа не умещается целиком на дискету 1.2, а после умещается :))
Это уже что-то вроде ритуала
Это уже что-то вроде ритуала
зато упакованный ехе быстрее загружается в память с диска, а уже в памяти все работает чуть побыстрее.
Но с другой стороны, с этими упаковщиками стока геморроя, если надо найти реальный адрес эксепшена%)
Но с другой стороны, с этими упаковщиками стока геморроя, если надо найти реальный адрес эксепшена%)
Да ну, вы ж используете madExcept в кипе (только форму перекроили) и разве есть проблема с реальным адресом? ) Нет. Думаю у автора с эврикой тоже не было. Все зависит от прямоты рук.
Вы кстати молодцы. Не смотря на кучу косяков продукт изначально был достаточно вылизан.
Вы кстати молодцы. Не смотря на кучу косяков продукт изначально был достаточно вылизан.
Ну с madExcept конечно проще:) Замечательнейшая тулза, долгих лет жизни ее создателю. Не знаю, что б мы без нее делали. Столько багов выловили, прям цены нет (ну, точнее есть:))
спасибо за молодцов:) но это не только наша заслуга:) Армия тестеров с форума просто не дает расслабиться:) Да и поток багрепортов на почту тоже:)
спасибо за молодцов:) но это не только наша заслуга:) Армия тестеров с форума просто не дает расслабиться:) Да и поток багрепортов на почту тоже:)
А как вам вариант найти Heur_PE virus и посмотреть как он функционирует — на что там срабатывает антивирус? В качестве поиска решения для вашего кода.
А почему просто не подать на них в суд например за то что они рушат ваш бизнес и все такое? Я думаю после искового заявления ваша программа быстро перестанет детектироваться, и суда даже не будет.
потому что хочется потратить своё время более конструктивно
На кого подавать в суд? И за что?
У антивируса есть возможность проверять файлы на подозрительность. Это по определению допускает возможность ложного срабатывания. И есть возможность задать параноидальный режим работы, когда подозрения приравниваются к гарантированному определению.
Работать в этом режиме или нет — выбор пользователей (или админов). Предлагаете автору подать в суд на своих клиентов за то, что они не могут воспользоваться его программой? :)
У антивируса есть возможность проверять файлы на подозрительность. Это по определению допускает возможность ложного срабатывания. И есть возможность задать параноидальный режим работы, когда подозрения приравниваются к гарантированному определению.
Работать в этом режиме или нет — выбор пользователей (или админов). Предлагаете автору подать в суд на своих клиентов за то, что они не могут воспользоваться его программой? :)
Вы бредите. Антивирус определяет вирс там, где его нет. Автор программы обратился к авторам, авторы его послали. Автор вправе счесть это не честной конкуренцией и угрозой его бизнеса, свой бизнес он в праве защищать.
Скажем так, антивирус определяет подозрение на вирус, и выясняется, что автор таки использует подозрительные вызовы. А ложное срабатывание здесь идёт от того, что методы эвристики недостаточно хорошо отлажены и имеют пока ещё множество недостатков
Интересный вопрос: а есть где-либо четкое определение что такое вирус? или хотя бы определение вредоносного ПО?
мм, ru.wikipedia.org/wiki/Компьютерный_вирус и ru.wikipedia.org/wiki/Вредоносная_программа кажется подходят?
Автор написал, что антивирус сообщает "probably unknown NewHeur_PE virus". Что означает «возможно, неизвестный вирус».
Если вы посмотрите ниже, автор признается, что в ходе работы его программа правит данные в памяти другого процесса. Для меня загадка, почему он сразу не понял, что дело может быть в этом, но главное — прочтите внимательно его письма в службу техподдержки. Есть там хотя бы один вопрос, чем может быть вызвано срабатывание детектора и что автор может сделать, чтобы этого не происходило? Нет, одни только претензии «исправьте свой алгоритм!».
В общем, об успешном иске тут речи идти не может… да автор вроде и не собирался.
Если вы посмотрите ниже, автор признается, что в ходе работы его программа правит данные в памяти другого процесса. Для меня загадка, почему он сразу не понял, что дело может быть в этом, но главное — прочтите внимательно его письма в службу техподдержки. Есть там хотя бы один вопрос, чем может быть вызвано срабатывание детектора и что автор может сделать, чтобы этого не происходило? Нет, одни только претензии «исправьте свой алгоритм!».
В общем, об успешном иске тут речи идти не может… да автор вроде и не собирался.
учтите, что момент первого письма переписка длилась уже месяц. Да, не догадался спросить сам «что мне изменить в коде», согласен. Но инициативы от сотрудника не было тоже. Вобщем вопрос закрыт, уже высказался главный человек, и я буду полностью считать тему закрытой, когда получу рекомендации, что исправить в коде. Да, дело не в чтении памяти (только если как в совокупности факторов), так как присутствовало с самой первой версии программы
Коротко и метко! Все верно, согласен полностью с нечестной конкуренцией, а так же с тем, что суды — это не так страшно и гемморойно как кажется. По крайней с точки зрения истца.
Перенесите в блог, этому посту с таким количеством плюсов место на главной странице…
я просто не в курсе, я могу это сделать? как?
Присоединитесь к необходимому (желаемому) блогу — после чего отредактируйте топик, указав нужное место публикации (не личный блог, а тот, к которому вы присоединились) в выпадающем меню над хабратопиком.
Вот например более-менее подходящий блог — Вирусы (и антивирусы)
Пакеры/крипторы и подобные защитные механизмы применяются? На чем программа? Не на Delphi, часом? Попробуйте UPX заюзать, вдруг у них он кривенько обрабатывается и после распаковки программа детектится не будет :-)
Delphi 7.0, что с UPX, что без — дает эффект. Вероятно работа с WinSock, либо вес набрался из-за нескольких факторов, включая то барахло что за собой тащит EurekaLog.
«На на Delphi, часом?» — а какая разница на чем?
«На на Delphi, часом?» — а какая разница на чем?
Ой, а не вы ли, часом, утверждали, что сигнатурный анализ — зло? А теперь не понимаете разницы между Delphi и VB? А разница есть, причем большая. Для начала рекомендую сравнить, где пользовательский код в программе на Visual C, а где он в программе на Delphi. И где в этих программах библиотечный код.
Я и сейчас утверждаю что зло :) А где упоминание вами VB (вы его из-за p-code упомянули что ли)? Я становлюсь занудой из-за вас, месье.
Пользовательский код? :) Я думаю и в VC и в Delphi он будет по большей части в секции кода располагаться или уже совсем старый стал? )
Пользовательский код? :) Я думаю и в VC и в Delphi он будет по большей части в секции кода располагаться или уже совсем старый стал? )
Понял про библиотечный/пользовательский. Действительно есть нюансы.
Вот-вот. Соответственно, внесение некоторых «специальных» изменений может помочь.
Я говорил про расположение библиотечного кода в файле, а не про его одинаковость.
Не факт, что не будет :-)
Разница есть. Например, сделана вирусная запись по юзерскому коду, причем смещение берется, например, от начала файла. В данном случае добавление лишнего модуля в проект сдвинет юзерский код и сигнатура не сработает. Это в случае с Delphi. Если же сдуру файл записали по куску библиотечного кода, есть шанс, что добавление лишнего модуля «сдвинет» тот код, по которому есть детект к хвосту и детект пропадет.
На VC юзерский код идет в начале программы, сколько библиотек не пихай — они все равно в хвосте будут и запись с абсолютным смещением сработает.
Разница есть. Например, сделана вирусная запись по юзерскому коду, причем смещение берется, например, от начала файла. В данном случае добавление лишнего модуля в проект сдвинет юзерский код и сигнатура не сработает. Это в случае с Delphi. Если же сдуру файл записали по куску библиотечного кода, есть шанс, что добавление лишнего модуля «сдвинет» тот код, по которому есть детект к хвосту и детект пропадет.
На VC юзерский код идет в начале программы, сколько библиотек не пихай — они все равно в хвосте будут и запись с абсолютным смещением сработает.
У меня такое много раз было по студенчеству — делаешь кому-нибудь лабу по программированию на turbo pascal, c++ или Delphi, компилишь прогу — выскакивает доктор веб в панике: ВИРУС!
В программе ничего серьёзного нет, какое-нибудь простенькое задание типа матрицы перемножить и т.п., даже без обращения к диску.
Меняешь пару строк местами — компилится нормально.
Жаль, не сохранились примеры вирусоподобного кода.
В программе ничего серьёзного нет, какое-нибудь простенькое задание типа матрицы перемножить и т.п., даже без обращения к диску.
Меняешь пару строк местами — компилится нормально.
Жаль, не сохранились примеры вирусоподобного кода.
А разгадка одна — если файл детектируется антивирусом, то это означает, что он несет вредоносные функции.
Концовка понравилась :)
Господа юридически-подкованные, а дайте ссылку на статью, согласно которой разглашать переписку с согласия одной лишь сторон (об этом я уже слышал где-то) можно, а вот указывать имя второго участника дискуссии — наказуемо (а вот это я слышу впервые).
Спасибо :-)
Спасибо :-)
да без разницы наказуемо или нет, пусть остается инкогнито, если настаивает, дело ведь совсем не в том, как его зовут
насчет разглашения персональных данных Федеральный закон ФЗ-152
а вот про переписку не скажу
а вот про переписку не скажу
Мне почему-то кажется, что этот закон не применим к данной ситуации. Хотя бы потому, что данная ситуация не входит в сферу действия, описанную в первом пункте.
(все выводы основываются лишь на интуации и обывательской интерпретации текста)
www.rg.ru/2006/07/29/personaljnye-dannye-dok.html
(все выводы основываются лишь на интуации и обывательской интерпретации текста)
www.rg.ru/2006/07/29/personaljnye-dannye-dok.html
Да, но в данном случае человек выступает, как сотрудник организации. А автор топика не давал этой организации гарантий о неразглашении. Хотя я считаю, что в данном случае публиковать имя действительно не правильно — это может быть политика компании, а человеку будет подпорчена репутация.
Ох, знаете в чем ваша ошибка? В том, что вы после второго письма не попросили контакты менеджера русского офиса ESET или не пригрозили бы жалобой в центральный офис.
Давно пора смирится, что локальные офисы крупных компаний ничего не решают, и не имеют никакого влияние на функционирования програмного продукта в целом. Их дело поддерживать чайников. А в техподдержка там работают такие же дундуки, как товарищ из переписки.
Кстати, надпись с лого я бы убрал, знаете ли, в вашей стране и до суда дойди может…
Давно пора смирится, что локальные офисы крупных компаний ничего не решают, и не имеют никакого влияние на функционирования програмного продукта в целом. Их дело поддерживать чайников. А в техподдержка там работают такие же дундуки, как товарищ из переписки.
Кстати, надпись с лого я бы убрал, знаете ли, в вашей стране и до суда дойди может…
даже если это и так человек на той стороне принял на себя функцию того, кто решает. Может и зря не попросил контакты. Пока для себя решил, что жизнь без eset тоже возможна
К сожалению, в основном офисе проблему решают не сильно лучше. А опыт общения с региональными представителями показал, что они действуют строго по инструкции головного офиса.
Поэтому еще раз повторю то, о чем писал ранее. Желаю компании ESET скорее разобраться с этой проблемой, так как через некоторое время она будет доставлять проблемы не только разработчика ПО, но и вредить самой компании. Ведь подобная слава никому не нужна.
Поэтому еще раз повторю то, о чем писал ранее. Желаю компании ESET скорее разобраться с этой проблемой, так как через некоторое время она будет доставлять проблемы не только разработчика ПО, но и вредить самой компании. Ведь подобная слава никому не нужна.
Не пользовался никогда Nod, ничего не могу по этому поводу сказать.
А вот по поводу поведения сотрудника тех. поддержки выскажусь.
Я работаю «фрилансером», только работа моя с интернетом не связана. То есть меня нанимают для решения каких то определенных задач внутри фирмы. После выполнения которых Я получаю свое вознаграждение и «плыву» дальше.
Поэтому я перевидал столько «кадров» среди сотрудников компаний, что у меня в типовом договоре первым пунктом в правах идет то, что я сам выбираю с кем из сотрудников компании я работаю и наниматель в этот процесс не может вмешиваться.
И большинство проблем внутри крупных фирм связанно с такими «сотрудниками», с каким имели несчастье пообщаться Вы. Мой совет: Напишите по «электронке» кому то из руководства. Лучше продублируйте нескольким руководителям ( что бы подстраховаться от попадания письма к такому же «мудрецу» ). Заодно сообщите какой занимательный персонаж у них сидит в тех. поддержке ( я бы на их месте был благодарен за такую информацию.). Кстати пускай меня юристы поправят, но сотрудник компании во время работы выполняет служебные обязанности и действует от лица компании, а не как частное лицо. И его ФИО и переписку с ним вполне спокойно можно публиковать. Это они не могут публиковать данные о клиентах, а клиент может опубликовывать переписку с ними и оглашать имена сотрудников.
А вот по поводу поведения сотрудника тех. поддержки выскажусь.
Я работаю «фрилансером», только работа моя с интернетом не связана. То есть меня нанимают для решения каких то определенных задач внутри фирмы. После выполнения которых Я получаю свое вознаграждение и «плыву» дальше.
Поэтому я перевидал столько «кадров» среди сотрудников компаний, что у меня в типовом договоре первым пунктом в правах идет то, что я сам выбираю с кем из сотрудников компании я работаю и наниматель в этот процесс не может вмешиваться.
И большинство проблем внутри крупных фирм связанно с такими «сотрудниками», с каким имели несчастье пообщаться Вы. Мой совет: Напишите по «электронке» кому то из руководства. Лучше продублируйте нескольким руководителям ( что бы подстраховаться от попадания письма к такому же «мудрецу» ). Заодно сообщите какой занимательный персонаж у них сидит в тех. поддержке ( я бы на их месте был благодарен за такую информацию.). Кстати пускай меня юристы поправят, но сотрудник компании во время работы выполняет служебные обязанности и действует от лица компании, а не как частное лицо. И его ФИО и переписку с ним вполне спокойно можно публиковать. Это они не могут публиковать данные о клиентах, а клиент может опубликовывать переписку с ними и оглашать имена сотрудников.
Не по теме вопрос: что за софт вы пишете, можно ссылочку?
Я как раз хочу заняться подобным )
Я как раз хочу заняться подобным )
Кидо пропустили и Симантек с Авастом, и Касперский.
Говорю о отрезке времени «начало эпидемии».
P.S. не корысти ради, а только для обьективности.
Говорю о отрезке времени «начало эпидемии».
P.S. не корысти ради, а только для обьективности.
От НОДа отказался когда сидел, радовался что без вирей и тут внезапно ядро системы стало жрать 60% процессорного времени. Поставил Веба, просканил, он нашел 2 виря, удалил, ядро всеравно продолжало отжирать… Снес потсавил каспера нашел еще 7, все успокоилось. Я не говорю что Каспер панацея, но для меня, лично, пока лучше ничего не сделали. Покупаю лицензии, юзал пиратские ключи, но с выходом 2010 проникся и купил себе таки.
А орфографическая ошибка в слове «отсутВствие» на картинке с какой-то специальной целью или апичатка? :)
Вообще у меня тройка по русскому, но мне кажется, написано правильно
Запрос исправлен на «отсутствие», так как для «отсутВствие» ничего не найдено.
Русский орфографический словарь
отсу́тствие, -я
slovari.yandex.ru/search.xml?old_text=%D0%BE%D1%82%D1%81%D1%83%D1%82%D0%92%D1%81%D1%82%D0%B2%D0%B8%D0%B5&text=%D0%BE%D1%82%D1%81%D1%83%D1%82%D1%81%D1%82%D0%B2%D0%B8%D0%B5&st_translate=sp
Русский орфографический словарь
отсу́тствие, -я
slovari.yandex.ru/search.xml?old_text=%D0%BE%D1%82%D1%81%D1%83%D1%82%D0%92%D1%81%D1%82%D0%B2%D0%B8%D0%B5&text=%D0%BE%D1%82%D1%81%D1%83%D1%82%D1%81%D1%82%D0%B2%D0%B8%D0%B5&st_translate=sp
Может и правда поправите картинку или уберёте совсем? :)
А ссылку на ваше ПО можно? Оно сертифицировано? Если ваша программа-вирус, то вы 100% компенсируете все мои издержки?
Вот тут и загвоздка что производитель антивируса должен обеспечить гарантии того что ваш софт не причинит вреда, все остальное на усмотрение пользователя. Наверняка удаление всего и вся, что антивирус посчитает «вредным» еще и прописано в лицензионном соглашении.
Вот тут и загвоздка что производитель антивируса должен обеспечить гарантии того что ваш софт не причинит вреда, все остальное на усмотрение пользователя. Наверняка удаление всего и вся, что антивирус посчитает «вредным» еще и прописано в лицензионном соглашении.
в лицензиях на антивирус вполне однозначно указывается, что компания-производитель не несёт рисков и не обязуется возмещать возможные потери.
(по крайней мере, когда я читал лицензию на касперского подобная строка была, могу ошибаться)
(по крайней мере, когда я читал лицензию на касперского подобная строка была, могу ошибаться)
>А ссылку на ваше ПО можно?
Ссылку можно, смотрите выше.
>Оно сертифицировано?
А что кто-то должен сертифицировать программы, чтобы их антивирус адекватно проверял? впервые слышу
>Если ваша программа-вирус, то вы 100% компенсируете все мои издержки?
Вообще, программа распространяется бесплатно и давать какие-либо гарантии мне нет никакого смысла, но давайте вот как: Если вы готовы заплатить мне именно за гарантии и четко определите понятие «вирус» (таким образом, чтобы финансовые потери в случае действий, связанных с финансовым риском на фондовом рынке и т.п. под это определение не попадали) и четко опишите, какие издержки вы хотите компенсировать в каком случае, то да, я согласен подписать бумаги и дать вам в полной мере такие гарантии. Но что-то мне подсказывает, что ваш комментарий это так, выкрик «на понт»
Ссылку можно, смотрите выше.
>Оно сертифицировано?
А что кто-то должен сертифицировать программы, чтобы их антивирус адекватно проверял? впервые слышу
>Если ваша программа-вирус, то вы 100% компенсируете все мои издержки?
Вообще, программа распространяется бесплатно и давать какие-либо гарантии мне нет никакого смысла, но давайте вот как: Если вы готовы заплатить мне именно за гарантии и четко определите понятие «вирус» (таким образом, чтобы финансовые потери в случае действий, связанных с финансовым риском на фондовом рынке и т.п. под это определение не попадали) и четко опишите, какие издержки вы хотите компенсировать в каком случае, то да, я согласен подписать бумаги и дать вам в полной мере такие гарантии. Но что-то мне подсказывает, что ваш комментарий это так, выкрик «на понт»
Что ж вы там такого наворотили в коде чтобы NOD с ума сошел.
Очень давно разочаровался в NOD, перешел на Dr.Web и не жалею. За 2 года только 3-4 ложных срабатывания помни и все они были на keygen или crack к какой-то программе.
Так же по поводу работы NOD'а: на форуме нашего местного провайдера (over 200.000 клиентов) постоянно появляются темы в стиле «Помогите избавиться от вируса» и в 80-85% случаев у пользователей стоит именно NOD.
Вообще работа NOD у меня ассоциируется с мелкой дворовой собачкой, которая лает на всех проходящих, но при первой малейшей опасности убегает в конуру и отсиживается там. Извините, но со стороны это выглядит именно так.
Так же по поводу работы NOD'а: на форуме нашего местного провайдера (over 200.000 клиентов) постоянно появляются темы в стиле «Помогите избавиться от вируса» и в 80-85% случаев у пользователей стоит именно NOD.
Вообще работа NOD у меня ассоциируется с мелкой дворовой собачкой, которая лает на всех проходящих, но при первой малейшей опасности убегает в конуру и отсиживается там. Извините, но со стороны это выглядит именно так.
А меня вот дико бесит, что dr web считает Qtшные примеры вредоносным кодом, и в итоге я один раз раза 3 пытался Qt на винду поставить, так как он мне запарывал установку.
Нод уже не тот…
Судя по резкому включению в переписку персональных данных и угроз, практика отработана :) Детский сад какой-то.
>Я занимаюсь разработкой программного обеспечения для скоростной и автоматизированной торговли ценными бумагами и производными инструментами на Российском Фондовом рынке
Что за проект? :)
Что за проект? :)
Прочитал выше. А разве для взаимодействия с квиком вы не напрямую к нему в память лезете?
Да, напрямую, и это не является «преступлением». Я не спрашивал на это разрешения разработчиков QUIK (это не требуется), но, кажется, они не против: quik.ru/user/forum/ideas/45647/?view=list
«Преступлением» — не является. Но является весьма подозрительным действием, с точки зрения антивируса. Откуда ж ему знать что вы с благими намерениями туда лезете?
ПС: вариант с работой по dde или odbc не рассматривали?
ПС: вариант с работой по dde или odbc не рассматривали?
DDE рассматривался и даже реализовывался. Не понравилось. ODBC отмел сразу — база данных (или её эмуляция) в этом процессе лишнее звено, да и DDE, вобщем, тоже. И оба эти варианта портят всю идею системы полностью автономного трейдинга: включил PC — автозагрузилась программа, сама запустила терминал и спокойно заторговала. В случае DDE и ODBC при каждом запуске терминала обмен нужно настраивать руками и это безальтернативно.
Чтение памяти было с первой версии, NOD ругаться начал только с 2.0.2.0.
Чтение памяти было с первой версии, NOD ругаться начал только с 2.0.2.0.
ну на такие штуки в рантайме не только нод начнёт ругаться, лучше обойти другим путём, тут собсно нод немножко прав.
только NOD ругается, с остальными всё ок. да я и не спорю, может и подозрительная деятельность. история эта о взаимодействии с eset по этому вопросу и попытках как-то его решить
очень и очень странно что остальные молчат.
нод ругается до запуска, а вы попробуйте запустите приложение, 99% что и каспер и остальные начнут ругаться на изменение чужой памяти — это прямая угроза безопасности.
нод ругается до запуска, а вы попробуйте запустите приложение, 99% что и каспер и остальные начнут ругаться на изменение чужой памяти — это прямая угроза безопасности.
Каспер молчит.
а вы в настройках покопайтесь, попросите информировать Вас о своих действиях. у убедитесь в том что включена Проактивная защита, Фильтрация активности приложений и прочие «навороты». возможно они просто отключены, либо он делает свое черное дело молча. потому что мой KIS2009 на любые подобные действия интересуется у меня разрешать или нет.
Вообще лазание в чужой процесс априори будет вызывать подозрение, это же идёт вразрез с самой идеалогией вытесняющей многозадачности, когда предполагается, что память процесса должна быть защищена от вмешательств извне. Исключения составляют только узкоспециализированые утилиты, навроде дебагеров, профилировщиков и тому подобного.
А вот в обычной проге это черевато может быть, от того НОДу это и не нравится
А вот в обычной проге это черевато может быть, от того НОДу это и не нравится
С этого надо было начинать! Функцию WriteProcessMemory (да и ReadProcessMemory) лучше получать через GetProcAddress выполнив перед этим преобразование (дешифровку) ее имени, желательно используя разные WinAPI до выходных значений которых сложно догадаться антивирусам.
Честно говоря, лезть в память другого процесса — абсолютно дурная практика (индус-стайл кодинг, no offence), я к сожалению на стороне НОД32, я как пользователь, хотел бы чтобы меня предупреждали о таких подозрительных действиях. Изоляция памяти процессов не просто так придумана.
С чем я полностью согласен — антивирусы стали брать на себя слишком много. Уже не раз встречал варианты с автоматическим удалением файла и блокировкой доступа к безобидным и адекватным программам, проработавшим не один год. Как то не верю я, что новый вирус заразил программку 2003 года работающую с CD.
Другая фишка в том, что антивирусы стали блокировать редакторы реестра, читы к играм, кряки и кейгены, что собственно тоже не их задача. Любые попытки вызвать диалог с программой (избежать автоматических действий) к успеху не привели.
За год сменил Каспера, Нортона и НоДа. Сейчас подходит к концу бесплатные 90 дней Нортона — буду искать дальше…
Другая фишка в том, что антивирусы стали блокировать редакторы реестра, читы к играм, кряки и кейгены, что собственно тоже не их задача. Любые попытки вызвать диалог с программой (избежать автоматических действий) к успеху не привели.
За год сменил Каспера, Нортона и НоДа. Сейчас подходит к концу бесплатные 90 дней Нортона — буду искать дальше…
Вроде бы avg free edition не очень сильно борзеет.
у меня он даже слишком сильно «не борзел» (ссылка на опыт использования)
что-то не сработал href в комменте выше
forum.mozilla-russia.org/viewtopic.php?pid=382056
forum.mozilla-russia.org/viewtopic.php?pid=382056
Такая ситуация встречается очень часто, иногда антивирускикам просто влом разбираться вирус ты или нет!
Сначала они добавляют тебя в базы, потом твой сайт добавляется в списки распространителей malware, а потом гугл удаляет твой сайт из выдачи и ходи, доказывай что ты не верблюд.
Эта ситуация характерна для NOD, McAfee, Avast.
Единственное достойное поведение показывает техподдержка в Kaspersky.
Сначала они добавляют тебя в базы, потом твой сайт добавляется в списки распространителей malware, а потом гугл удаляет твой сайт из выдачи и ходи, доказывай что ты не верблюд.
Эта ситуация характерна для NOD, McAfee, Avast.
Единственное достойное поведение показывает техподдержка в Kaspersky.
Тут выше написали, причина в том, что программа лезет в память чужого процесса. Почему-то автор из скромности в топике не упомянул о том, что он использует неприемлемые, сродни злонамеренным хакерским, техники.
какие вы ещё прилагательные знаете? Это вполне документированные функции, которые используются с первой версии программы, и не детектировались антивирусом в первых версиях. Вы пишите, что «к сожалению на стороне НОД32», но вы собираетесь встать на его сторону совершенно не по тому поводу. Чтение памяти другого процесса в этой истории ни причем совершенно
А Вы не в курсе, какие действия Вашей программы НОД считает опасными? Может используете что-то нестандартное?
Читайте статью, автор не в курсе, ему не дали объяснений в ESET.
Читайте внимательней коментарий!
Знаю, что «ему не дали объяснений в ESET»…
Я обращаюсь к автору программы, так как только он знает все особенности работы своей программы.
Кажется что-то появилось: habrahabr.ru/blogs/virus/77587/#comment_2261875
Знаю, что «ему не дали объяснений в ESET»…
Я обращаюсь к автору программы, так как только он знает все особенности работы своей программы.
Кажется что-то появилось: habrahabr.ru/blogs/virus/77587/#comment_2261875
Спасибо автору за то, что поднял эту тему.
Проблема с антивирусами стоит очень остро для простых разработчиков, понятно, что технологии могут быть не совершенными, но то, как компания ESET ведет переписку с разработчиками и как реагирует и отвечает на письма — это просто беспредел.
Мы также периодически сталкиваемся с проблемой ложного детекта и, обычно, антивирусные вендоры адекватно реагируют на требования убрать ложный дект. Исключением является компания ESET с их продуктом NOD.
Чуть позже могу предоставить нашу переписку с этой славной компанией (в том числе с головным офисом), а пока вот несколько полезных и веселых обсуждений от одного эксперта по информационной безопасности:
sporaw.livejournal.com/77931.html?thread=1552747#t1552747
sporaw.livejournal.com/79480.html
sporaw.livejournal.com/79827.html
Поэтому желаю компании ESET поскорее разобраться с этой проблемой и внимательнее относиться к разработчикам легального ПО!
Проблема с антивирусами стоит очень остро для простых разработчиков, понятно, что технологии могут быть не совершенными, но то, как компания ESET ведет переписку с разработчиками и как реагирует и отвечает на письма — это просто беспредел.
Мы также периодически сталкиваемся с проблемой ложного детекта и, обычно, антивирусные вендоры адекватно реагируют на требования убрать ложный дект. Исключением является компания ESET с их продуктом NOD.
Чуть позже могу предоставить нашу переписку с этой славной компанией (в том числе с головным офисом), а пока вот несколько полезных и веселых обсуждений от одного эксперта по информационной безопасности:
sporaw.livejournal.com/77931.html?thread=1552747#t1552747
sporaw.livejournal.com/79480.html
sporaw.livejournal.com/79827.html
Поэтому желаю компании ESET поскорее разобраться с этой проблемой и внимательнее относиться к разработчикам легального ПО!
Ребята из IRC говорят, что может помочь удаление секции .debug, если она не удалена. Если что, я не настоящий сварщик :)
Добрый день, хабралюди. Я как раз тот самый представитель руководства, к которому вы аппелируете в комментах.
Вчера я уже изучал этот пост, когда он был опубликован ещё в песочнице.
Первое: По существу могу заявить, что служба технической поддержки сделала всё что могла. Если ваше приложение при запуске выполняет какие-то подозрительные действия, то NOD32 честно об этом сообщает пользователю. Думаю, что это одна из тех функций, из-за которой люди и покупают антивирусы (быть уведомлённым о том, какие «левые» активности происходят на компьютере). Удалять или не удалять такого рода оповещения из нашего продукта – это не нам с Вами решать. Если бы NOD32 развивался «как все» и следовал советам «со стороны», то мы никогда бы не увидели прорыва в эвристических технологиях анализа.
Второе: Вы, как разработчик, должны прекрасно понимать приоритеты (ничего личного). Одно дело вносить изменения в эвристику под продукты MS или Adobe, а другое дело под ваш (не менее уважаемый) продукт (честно!). Было бы неприятно, если бы 60 000 000 пользователей по всему миру из-за исправления эвристики для вашего продукта, получили бы снижение уровня безопасности на своих компьютерах.
Компот: На самом деле эту проблему можно было бы исправить ещё в начале (и техподдержка так и сделала). Когда фальшивый детект произошёл во второй раз, надо было выдать вам специальные технические рекомендации для вашей программы, чтобы этого не повторилось и в следующий раз. Но специалистов такого уровня в штате техподдержки нет. Сама служба занимается всем перечнем вопросов, который описан на сайте нашей компании в разделе «техническая поддержка». В месяц честно обслуживаются до 36 000 обращений. В основном это вопросы домашних пользователей и SMB-сектора.
Мы ошиблись где-то в эскалации Вашего вопроса. Расследование проведём, корректирующее воздействие сделаем.
Десерт: мы в компании планируем весной запустить в работу новое подразделение, которое будет отвечать в том числе и за false positive — детект.
P.S.: никто из ESET не принимает участия в анонимных дебатах на непонятных сайтах.
Всё будет!
Аминь.
Павел Потасуев, Директор по IT российского представительства ESET.
Вчера я уже изучал этот пост, когда он был опубликован ещё в песочнице.
Первое: По существу могу заявить, что служба технической поддержки сделала всё что могла. Если ваше приложение при запуске выполняет какие-то подозрительные действия, то NOD32 честно об этом сообщает пользователю. Думаю, что это одна из тех функций, из-за которой люди и покупают антивирусы (быть уведомлённым о том, какие «левые» активности происходят на компьютере). Удалять или не удалять такого рода оповещения из нашего продукта – это не нам с Вами решать. Если бы NOD32 развивался «как все» и следовал советам «со стороны», то мы никогда бы не увидели прорыва в эвристических технологиях анализа.
Второе: Вы, как разработчик, должны прекрасно понимать приоритеты (ничего личного). Одно дело вносить изменения в эвристику под продукты MS или Adobe, а другое дело под ваш (не менее уважаемый) продукт (честно!). Было бы неприятно, если бы 60 000 000 пользователей по всему миру из-за исправления эвристики для вашего продукта, получили бы снижение уровня безопасности на своих компьютерах.
Компот: На самом деле эту проблему можно было бы исправить ещё в начале (и техподдержка так и сделала). Когда фальшивый детект произошёл во второй раз, надо было выдать вам специальные технические рекомендации для вашей программы, чтобы этого не повторилось и в следующий раз. Но специалистов такого уровня в штате техподдержки нет. Сама служба занимается всем перечнем вопросов, который описан на сайте нашей компании в разделе «техническая поддержка». В месяц честно обслуживаются до 36 000 обращений. В основном это вопросы домашних пользователей и SMB-сектора.
Мы ошиблись где-то в эскалации Вашего вопроса. Расследование проведём, корректирующее воздействие сделаем.
Десерт: мы в компании планируем весной запустить в работу новое подразделение, которое будет отвечать в том числе и за false positive — детект.
P.S.: никто из ESET не принимает участия в анонимных дебатах на непонятных сайтах.
Всё будет!
Аминь.
Павел Потасуев, Директор по IT российского представительства ESET.
Павел,
ваши объяснения приняты. Всё понимаю, претензий не имею. Не абсолютно во всём, но в целом с вами согласен. Интересуют «специальные технические рекомендации для вашей программы, чтобы этого не повторилось и в следующий раз». Они последуют?
ваши объяснения приняты. Всё понимаю, претензий не имею. Не абсолютно во всём, но в целом с вами согласен. Интересуют «специальные технические рекомендации для вашей программы, чтобы этого не повторилось и в следующий раз». Они последуют?
добавьте тогда автоматический отчет по тем критериям, по которым антивирус посчитал ехе заразой, и по запросу тп разработчику давать отчет — пусть он уже сам правит приложение ( не юзает например WriteProcessMemory и т.д.)
>Если ваше приложение при запуске выполняет какие-то подозрительные действия, то
>NOD32 честно об этом сообщает пользователю.
Насколько я понял, файл с программой удалялся ещё при скачивании архива, ни о каком выполнении речь не шла.
Поделюсь своим опытом эксплуатации NOD32. Мы поддерживаем GIS систему, генерирующую карты в бинарном формате. Никаких исполнимых фрагментов этот формат не содержит. Время от времени NOD32 заявляет, что в скачиваемых фрагментах карт лежит вирус. Точнее у нас он уже не заявляет — наш отдел отказался от этого «антивируса».
>NOD32 честно об этом сообщает пользователю.
Насколько я понял, файл с программой удалялся ещё при скачивании архива, ни о каком выполнении речь не шла.
Поделюсь своим опытом эксплуатации NOD32. Мы поддерживаем GIS систему, генерирующую карты в бинарном формате. Никаких исполнимых фрагментов этот формат не содержит. Время от времени NOD32 заявляет, что в скачиваемых фрагментах карт лежит вирус. Точнее у нас он уже не заявляет — наш отдел отказался от этого «антивируса».
А нет ли у вас какой-нибудь базы знаний с перечнем чего делать не рекомендуется во избежание детекта? Я б с удовольствием почитал
Официальный ответ понравился, но впечатление испортила одна фраза:
>никто из ESET не принимает участия в анонимных дебатах на непонятных сайтах.
Очень интересно, каким образом Вы можете это гарантировать. Особенно с учётом того, что факт (IP) — налицо.
>никто из ESET не принимает участия в анонимных дебатах на непонятных сайтах.
Очень интересно, каким образом Вы можете это гарантировать. Особенно с учётом того, что факт (IP) — налицо.
Красиво «обос$ал» Хабр. Сам тут присутствует, но назвал «непонятным сайтом». Мне кажется после диагноза от VirusTotal, ESET должна была заткнуться в тряпочку и написать решение ибо это серьезный провал, когда из 40 антивирусов, только NOD32 облажался.
мы в компании планируем весной запустить в работу новое подразделение, которое будет отвечать в том числе и за false positive — детект.
Всё будет!
Вы главное на Хабрахабре не забудьте об этом отписаться :)
Думаю, следовало решать проблему иначе.
Понятно, что @@@ @@@@@@ вел себя не очень профессионально и не смог донести до клиента правильную информацию, а именно: «Проблема с неправильным детектом существует. Одноразово мы готовы вам помочь, но не каждый выпуск программы, учитывая ее популярность. Для того, чтобы решить данную проблему, вот вам список возможных проблем/контакты более компетентного человека в этом вопросе/...»
Нужно было обращаться к другому члену группы поддержки, или идти выше по цепочке, как советовали в одном из комментариев, а не спорить и доказывать свою правоту. Ведь фактически NOD «ни за что» наносит вам финансовый ущерб. Если останавливаться и разводить руками из-за плохого качества обслуживания в нашей стране, далеко не уедешь. Человека, стоящего стеной, нужно обходить, а не ломать. Хотя @@@ особо стеной и не был.
Понятно, что @@@ @@@@@@ вел себя не очень профессионально и не смог донести до клиента правильную информацию, а именно: «Проблема с неправильным детектом существует. Одноразово мы готовы вам помочь, но не каждый выпуск программы, учитывая ее популярность. Для того, чтобы решить данную проблему, вот вам список возможных проблем/контакты более компетентного человека в этом вопросе/...»
Нужно было обращаться к другому члену группы поддержки, или идти выше по цепочке, как советовали в одном из комментариев, а не спорить и доказывать свою правоту. Ведь фактически NOD «ни за что» наносит вам финансовый ущерб. Если останавливаться и разводить руками из-за плохого качества обслуживания в нашей стране, далеко не уедешь. Человека, стоящего стеной, нужно обходить, а не ломать. Хотя @@@ особо стеной и не был.
> Мое имя @@@ @@@@@@. Хотелось бы предупредить Вас, что распротранение персональных данных человека без его согласия является угловным преступлением. Соответственно, мое имя я Вам не разреша.ю использовать на своем сайте и на других ресурсах.
Имя человека не является персональными данными, не допустимыми для разглашения. Если бы он написал при этом длину своего, пардон, угадайте чего, или номер пенс. страхования — то являлись бы.
Имя человека не является персональными данными, не допустимыми для разглашения. Если бы он написал при этом длину своего, пардон, угадайте чего, или номер пенс. страхования — то являлись бы.
а не могли бы вы (если в курсе) поподробнее написать — что является персональными данными, а что нет.
«персональные данные — любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация;»
(с) Ст.3 п.1 ФЗ «О персональных данных»
(с) Ст.3 п.1 ФЗ «О персональных данных»
т.е. nezerus не прав?
Затрудняюсь сказать, у нас законы такие запутанные, что аж страшно становится. Если смотреть по определению, то вроде бы имя это персональная информация, но с другой стороны работники тех.поддержки всегда представляются в начале разговора и уж имя то они точно называют.
В данном случае, скорее всего, имя не такая уж и персональная информация.
В данном случае, скорее всего, имя не такая уж и персональная информация.
Позволю себе резюмировать. Есть некая программа которая лезет в память чужого процесса. И я так понимаю пытается туда что то писать. В 99% это вирус. Еще бы после этого она поток запускала в чужом процессе.
И как пользователь антивируса, я хочу что бы он информировал меня о подобных действиях программы.
В свою очередь ESET первый раз пошли на встречу и добавили сигнатуру программы в белый список. Естественно, что никто не будет добавлять новые сигнатуры после каждого изменения программы.
Ответ «Если файл детектируется антивирусом, то это означает, что он несет вредоносные функции. Другой вопрос являются ли эти функции необходимыми для работы программы или нет.» как оказалось был вполне корректный. Ибо доступ к памяти другого процесса — это вредоносная функция.
Как программист я понимаю автора программы — неприятно когда найденное решение проблемы (хак) вдруг перестает работать.
Но как пользователь я полностью разделяю позицию ESET. И хочу быть информирован о подобных вредных действиях программы. В идеале надо бы иметь возможность указать антивирусу, что этой программе можно обращаться к памяти той программы. Но в реальности лучше уж перестраховаться.
И на мой взгляд разработчики антивирусов не обязаны решать технические проблемы программистов. Если уж используешь подобный грязный метод, то будь добр сам сделать так, что бы он не вызывал проблем у пользователей твоей программы.
В данном случае, нельзя ли вынести работу с чужим процессом в отдельный модуль и попросить добавить его сигнатуру в белый список.
И как пользователь антивируса, я хочу что бы он информировал меня о подобных действиях программы.
В свою очередь ESET первый раз пошли на встречу и добавили сигнатуру программы в белый список. Естественно, что никто не будет добавлять новые сигнатуры после каждого изменения программы.
Ответ «Если файл детектируется антивирусом, то это означает, что он несет вредоносные функции. Другой вопрос являются ли эти функции необходимыми для работы программы или нет.» как оказалось был вполне корректный. Ибо доступ к памяти другого процесса — это вредоносная функция.
Как программист я понимаю автора программы — неприятно когда найденное решение проблемы (хак) вдруг перестает работать.
Но как пользователь я полностью разделяю позицию ESET. И хочу быть информирован о подобных вредных действиях программы. В идеале надо бы иметь возможность указать антивирусу, что этой программе можно обращаться к памяти той программы. Но в реальности лучше уж перестраховаться.
И на мой взгляд разработчики антивирусов не обязаны решать технические проблемы программистов. Если уж используешь подобный грязный метод, то будь добр сам сделать так, что бы он не вызывал проблем у пользователей твоей программы.
В данном случае, нельзя ли вынести работу с чужим процессом в отдельный модуль и попросить добавить его сигнатуру в белый список.
Вы резюмируете неправильно.
>Есть некая программа которая лезет в память чужого процесса. И я так понимаю пытается туда что то писать
фантазируете по поводу писать
> В 99% это вирус. Еще бы после этого она поток запускала в чужом процессе.
фантазируете про поток
>И как пользователь антивируса, я хочу что бы он информировал меня о подобных действиях программы
это не функция антивируса. Я информирую пользователя о механизме чтения данных в инструкции.
>Ответ «Если файл детектируется антивирусом, то это означает, что он несет вредоносные функции. Другой вопрос являются ли эти функции необходимыми для работы программы или нет.» как оказалось был вполне корректный. Ибо доступ к памяти другого процесса — это вредоносная функция
Это вы с ним сели и решили, что это вредоносная функция?
> Но как пользователь я полностью разделяю позицию ESET. И хочу быть информирован о подобных вредных действиях программы
вы разделяете позицию, а сами не понимаете какую. Ещё раз: в этой истории чтение памяти другого процесса ни причем
>Есть некая программа которая лезет в память чужого процесса. И я так понимаю пытается туда что то писать
фантазируете по поводу писать
> В 99% это вирус. Еще бы после этого она поток запускала в чужом процессе.
фантазируете про поток
>И как пользователь антивируса, я хочу что бы он информировал меня о подобных действиях программы
это не функция антивируса. Я информирую пользователя о механизме чтения данных в инструкции.
>Ответ «Если файл детектируется антивирусом, то это означает, что он несет вредоносные функции. Другой вопрос являются ли эти функции необходимыми для работы программы или нет.» как оказалось был вполне корректный. Ибо доступ к памяти другого процесса — это вредоносная функция
Это вы с ним сели и решили, что это вредоносная функция?
> Но как пользователь я полностью разделяю позицию ESET. И хочу быть информирован о подобных вредных действиях программы
вы разделяете позицию, а сами не понимаете какую. Ещё раз: в этой истории чтение памяти другого процесса ни причем
ttools> Да, напрямую, и это не является «преступлением».
даже читать уже не хорошо, мало ли может воруешь какие то важные данные
даже читать уже не хорошо, мало ли может воруешь какие то важные данные
а мы перешли на ты? окей.
ты забываешь, что в этой истории с первой версии было чтение памяти и nod не ругался. и что программы сначала была добавлена в антивирусные базы. и что история эта не о чтении памяти, а о взаимодействии с сотрудником nod
ты забываешь, что в этой истории с первой версии было чтение памяти и nod не ругался. и что программы сначала была добавлена в антивирусные базы. и что история эта не о чтении памяти, а о взаимодействии с сотрудником nod
взаимодействие с сотрудником нод это уже следствие. все таки наверно заинтересован в устранение причины?!
мог изменится алгоритм анализа, а так как чтение чужой памяти это нарушение с точки зрения антивируса, поэтому он и пытается устранить причину(!!!) до того как у тебя что то украдут, а не после. скорей всего в твоей программе изменился порядок действий косвенно влияющих на результат сканирования.
ЗЫ. мог бы и не кричать громко, а просто поставить нод и протестировать, поменять что то в своей программе или ты думаешь если ты написал программу, а она вылетает с ошибкой то виноват непременно мелкософт и он должен исправлять косяк?! а т.к твой случай единичный, а лишние костыли в движке антивируса могут привести к каким либо дыркам, то имхо они сделали абсолютно верно.
мог изменится алгоритм анализа, а так как чтение чужой памяти это нарушение с точки зрения антивируса, поэтому он и пытается устранить причину(!!!) до того как у тебя что то украдут, а не после. скорей всего в твоей программе изменился порядок действий косвенно влияющих на результат сканирования.
ЗЫ. мог бы и не кричать громко, а просто поставить нод и протестировать, поменять что то в своей программе или ты думаешь если ты написал программу, а она вылетает с ошибкой то виноват непременно мелкософт и он должен исправлять косяк?! а т.к твой случай единичный, а лишние костыли в движке антивируса могут привести к каким либо дыркам, то имхо они сделали абсолютно верно.
>так как чтение чужой памяти это нарушение с точки зрения антивируса
это не так, с первой версии программы это не вызывало интереса со стороны антивируса
>мог бы и не кричать громко, а просто поставить нод и протестировать
а разве рассчитывать на помошь техподдержки программы, из-за которой у меня затруднения я рассчитывать не могу? И зачем мне ставить нод, я уже пользуюсь другим антивирусом.
это не так, с первой версии программы это не вызывало интереса со стороны антивируса
>мог бы и не кричать громко, а просто поставить нод и протестировать
а разве рассчитывать на помошь техподдержки программы, из-за которой у меня затруднения я рассчитывать не могу? И зачем мне ставить нод, я уже пользуюсь другим антивирусом.
а ты разве сказал что тебе нужно? или они там телепаты? из переписки не видно что ты спрашивал чего бы в коде поправить
ну это уже перебор. когда обращаются с подобной проблемой не нужно быть телепатом, чтобы догадаться, что надо предложить варианты решения.
Представь ситуацию: приходит человек к врачу с переломом ноги, а врач его выгоняет. а когда он возвращается с претензиями получает ответ: «а ты разве сказал, что тебе гипс наложить нужно? я что телепат?» это же гон. Да и всё уже, закрыт вопрос. Ответственный человек признал неправоту, а ты ещё что то доказываешь по инерции
Представь ситуацию: приходит человек к врачу с переломом ноги, а врач его выгоняет. а когда он возвращается с претензиями получает ответ: «а ты разве сказал, что тебе гипс наложить нужно? я что телепат?» это же гон. Да и всё уже, закрыт вопрос. Ответственный человек признал неправоту, а ты ещё что то доказываешь по инерции
Прошу прощения — сейчас посмотрел что Вы писали — «писать в память» это был мой домысел. Но сути это не меняет.
Да. Я считаю, что чтение памяти чужого процесса — это вредоносная функция. Мало ли, может у меня там пароли хранятся. А какая то левая прога пытается их прочитать.
А что главное?
Официальные ответе ESET вполне нормальные. «Так как создание новых версий раз в 10 дней и добавление их «белых» сигнатур в вирусные базы не является решением вопроса.» я полностью согласен с этой позицией.
Если файл детектируется антивирусом, то это означает, что он несет вредоносные функции. Другой вопрос являются ли эти функции необходимыми для работы программы или нет.
В данном случае пользователь сам должен решить доверяет ли он данной программе или нет. и с этой я тоже согласен.
то что данная программа является вредоносной и он может установить ее, добавив в Исключения под свою ответственность. Перед словом «является» должно быть «вероятно». А в остальном согласен.
Неофициальные ответы abibos тоже вполне корректны.
Да. Я считаю, что чтение памяти чужого процесса — это вредоносная функция. Мало ли, может у меня там пароли хранятся. А какая то левая прога пытается их прочитать.
А что главное?
Официальные ответе ESET вполне нормальные. «Так как создание новых версий раз в 10 дней и добавление их «белых» сигнатур в вирусные базы не является решением вопроса.» я полностью согласен с этой позицией.
Если файл детектируется антивирусом, то это означает, что он несет вредоносные функции. Другой вопрос являются ли эти функции необходимыми для работы программы или нет.
В данном случае пользователь сам должен решить доверяет ли он данной программе или нет. и с этой я тоже согласен.
то что данная программа является вредоносной и он может установить ее, добавив в Исключения под свою ответственность. Перед словом «является» должно быть «вероятно». А в остальном согласен.
Неофициальные ответы abibos тоже вполне корректны.
дело то в том, что юзеру не дали выбрать. ехе удаляется еще до запуска, то есть решение было принято за юзера
почему то вы упорно игнорируете тот факт, что позиции, к которой вы хотите присоединиться, не существует. чтение памяти было с первой версии программы и оно здесь совершенно не причем. Уже выступил директор и объяснил, что проблема была в человеке, с которым я контактировал и закрыл этот вопрос. Зачем вы продолжаете какую-то свою тему?
потому что любит народ скандалы, интриги, расследования
Спокойно. Я уже ничего не продолжаю. То был ответ на Ваше заявления, что я не понимаю позицию, которую разделяю. И если Вы заметили тот комментарий более чем наполовину состоит из цитат техподдержки с которыми я согласен. И отсутствие там фраз про чтение памяти, не значит что позиции которую выражают эти цитаты нет. И соглашусь с их директором, что «надо было выдать вам специальные технические рекомендации для вашей программы» даже если Вы никаких рекомендаций не спрашивали. На этом дискуссию предлагаю закончить.
На мой взгялд — разработчики антивирусов должны пройти нахуй со своим говнософтом, в случае если невредоносная программа определяется как вредоносная и убеждает в этом автора программы :)
Чтобы затем какой-либо вирус использовал этот недетектируемый модуль для своих черных действий?
Как-то NOD определил что в HandyCache — вирус, причём другие антивирусы ничего не находили. Поставил каспера на машину — всё ок. даже быстрее работать компьютер стал :)
Интересный вопрос. Да — возможно дело в false positives. А что если там все таки вирус (ну — предположим)? Тогда другие антивирусы его не находят только потому что они хуже (не знают этого вируса). Для примера — вышел новый вирус, постепенно он окажется в базах почти всех антивирусов, но кто-то, самый лучший антивирус, добавит его первым. И по описанному вами критерию вы тут же посчитаете, что именно этот антивирус (лучший) — как раз таки худший, потому что находит вирусы там, где другие его не находят.
Нужен какой-то эталонный вирус-тест, пусть ужасно медленный, но чрезвычайно надежный. Без него все обсуждения — только споры о доверии — «я не доверяю NOD'у, но доверяю KAV и если результаты отличаются — то прав KAV, а не NOD». Фактически, мы ведь даже 100% не знаем, что у автора топика нет вируса в программе (кроме его «зуб даю» других аргументов нет). :-)
Нужен какой-то эталонный вирус-тест, пусть ужасно медленный, но чрезвычайно надежный. Без него все обсуждения — только споры о доверии — «я не доверяю NOD'у, но доверяю KAV и если результаты отличаются — то прав KAV, а не NOD». Фактически, мы ведь даже 100% не знаем, что у автора топика нет вируса в программе (кроме его «зуб даю» других аргументов нет). :-)
пусть антивирусные компании имеют папку с софтом, где нет вирусов и до обновления базы сканят её, к примеру…
Проще изобрести аналог appArmor'а или tomoyo. Короче суть в том, что есть некая база знаний, в которой хранятся правила поведения для большинства приложений, с описанием, что они могут делать, а какие действия для них нехарактерны. Далее просто пишем к нашему приложению подобное правило и согласовываем его с создателями системы, чтобы они добавили правила себе в базу. Ну или же просто пользователю предлагаем добавить данное правило к локальным политикам, при этом нужно уведомлять о том, что приложение просит какие то эксклюзивные права, потипу прав на чтение других процессов и т.д.
Это сделает ненужным большинство функций антивирусов, таких, как резидентная защита. Достаточно будет сканить входящий/исходящий трафик, флешки и обеспечивать защиту от фишинга.
Но что-то мне подсказывает, что данную систему внедрять не будут, так, как придется каким то образом уговорить всех разработчиков антивирусов одновременно.
Это сделает ненужным большинство функций антивирусов, таких, как резидентная защита. Достаточно будет сканить входящий/исходящий трафик, флешки и обеспечивать защиту от фишинга.
Но что-то мне подсказывает, что данную систему внедрять не будут, так, как придется каким то образом уговорить всех разработчиков антивирусов одновременно.
Ну оставим в стороне мощности, которые потребуются авторам антивирусов, чтобы проверить новую версию на миллионах бинарей, включая первый макмен (это уже их проблемы). Но как будет пополняться эта папка? Разработчики любого ПО смогут посылать туда новые версии, чтобы создатели антивируса, если он поднимет тревогу, подточили напильником алгоритм детекта? А что если им туда как раз таки на самом деле вирус зашлют? Придется ведь подробно и очень долго и сложно дизассемблировать код, читать и много думать — чтобы убедиться что срабатывание именно ложное. Это очень очень дорого — поэтому врядли получится. А если не проверять вручную силами мегахакеров, а просто автоматом все в whitelist добавлять — тогда тут же и трояны в эту папку положат, чтобы антивирус их в whitelist занес.
Борьба с конкуренцией =)
А всё правильно, потому, что любой антивирус, по способу взаимодействия с системой, не отличается от многих вирусов. Тут и использование хитростей API, и просмотр памяти чужих процессов и база сигнатур, на худой конец, которую другие антивирусы радостно могут принять за скопление вирусов.
Говорят в Линуксе, если антивирус натравить на /proc, то он в содержимом памяти обнаружит собственную базу сигнатур и начнёт дико вопить о большом числе вирусов.
Говорят в Линуксе, если антивирус натравить на /proc, то он в содержимом памяти обнаружит собственную базу сигнатур и начнёт дико вопить о большом числе вирусов.
интересная заметка, спасибо.
думаю, после такой переписки проще будт свой код исправить, чем такой волокитой заниматься.
думаю, после такой переписки проще будт свой код исправить, чем такой волокитой заниматься.
ttool, может, тебе исходный код на сайте выложить в свободный доступ?:) тогда точно будет известно вирус у тебя там или нет.
не вариант
вот и eset тебе также ответила. :)
>клянусь пользователям, что программа не содержит >никакого вируса, рекомендую проверять программу >другими антивирусами или добавлять в исключения >NOD32 и пользоваться программой на свой страх и риск.
улыбнуло.
>клянусь пользователям, что программа не содержит >никакого вируса, рекомендую проверять программу >другими антивирусами или добавлять в исключения >NOD32 и пользоваться программой на свой страх и риск.
улыбнуло.
ну и сравнение. ты будешь все свои исходники выкладывать, если антивирус у тебе что-то найдёт подозрительное для него?
и вообще, мне ответила не eset, а сотрудник, с которым я переписывался. Сотрудник взял на себя слишком много, что и было признано высказавшимся здесь директором.
и вообще, мне ответила не eset, а сотрудник, с которым я переписывался. Сотрудник взял на себя слишком много, что и было признано высказавшимся здесь директором.
я просто смотрю на все со своей колокольни… ПО, признаюсь, не пишу и не продаю. Легко ставлю, использую и зарабатываю. Но хочу сказать, за последних N лет вопрос о недоверии к ПО возник один раз. И это единственный случай, когда использовался софт с закрытым кодом. Антивирусы вроде бы не считают skype опасным, однако когда я его трейсил, он пытался обращаться к ~/.mozilla и шарить там. Ну вот прочитал твой пост, в долгую переписку вникать не стал — неинтересно. Удивило, с какими проблемами приходится сталкиваться в мире закрытого ПО: вирусы, антивирусы, кто прав, кто нет…
NOD32? Работая в ТП интернет провайдера при первой проблеме «У меня не работает IP-TV» или «Заблокирован за вирусную активность» и при вопросе «У Вас есть антивирус» в 50% случаях я получу ответ «Да, NOD32». Обычно после этого идет лекция о компетентности данного антивируса, установка триала любого другого работоспособного (dr.Web || Kaspersky). Благо компания начала предоставлять услуги AV-DESK — теперь все намного проще. А NOD32 даже не рассматривался на роль кандидата антивирусной защиты для сети. Никогда. Никем. Ни за что. Только не ESET.
обфускация?
Дамую, тут задача в распространении программы так, чтобы дать пользователю понять, что в случае с конкретным антивирусом возникает ложное срабатывание, и предлагать проверить файл другими программами или virustotal'ом, и добавить в исключения нода.
осподи, как мне хорошо без назойливых антивирусов… понимаю, денег хочется… но уж слишком навязчивы…
осподи, как мне хорошо без назойливых антивирусов… понимаю, денег хочется… но уж слишком навязчивы…
Предлагаю автору развить в своей программе функцию автоматических торгов, заработать кучу бабла, купить компанию ESET с потрохами и распустить всех =)
Удивляет отношение разработчика к данной проблеме — вместо поиска и устранения причины совместно с разработчиками NOD'а, ttools начинает «перегибать палку». Зачем?
ttools пишет:
> Т.е. при таком положении дел, в отсутствии поддержки со стороны антивируса чтобы «покопать свой код» я должен что сделать? купить и поставить NOD, удалить свой антивирус и провести ряд экспериментов по отключению функций и поиску, на какую же из них активируется эвристический анализатор NODа.
Да, именно так и делают нормальные разработчики — тестируют свое ПО, находят и исправляют в нем ошибки. Причем сам разработчик, ttools, даже не удосужался выяснить, откуда такая реакция на его софт и не попытался устранить возможные огрехи.
Видите ли, у него нет времени на тестирование своего ПО, написанного с использованием «хаков» и потенциально опасных приемов. Зато есть время у разработчиков антивирусов проверять работу «левого ПО», искать причины срабатывания предупреждений и добавлять данный софт каждый раз в исключения? Следует уважать не только свое, но и чужое время.
ttools пишет:
> Т.е. при таком положении дел, в отсутствии поддержки со стороны антивируса чтобы «покопать свой код» я должен что сделать? купить и поставить NOD, удалить свой антивирус и провести ряд экспериментов по отключению функций и поиску, на какую же из них активируется эвристический анализатор NODа.
Да, именно так и делают нормальные разработчики — тестируют свое ПО, находят и исправляют в нем ошибки. Причем сам разработчик, ttools, даже не удосужался выяснить, откуда такая реакция на его софт и не попытался устранить возможные огрехи.
Видите ли, у него нет времени на тестирование своего ПО, написанного с использованием «хаков» и потенциально опасных приемов. Зато есть время у разработчиков антивирусов проверять работу «левого ПО», искать причины срабатывания предупреждений и добавлять данный софт каждый раз в исключения? Следует уважать не только свое, но и чужое время.
>> Вы путаете, именно на это была направлена переписка с поддержкой
Как раз таки и нет — автор поста сразу потребовал добавить его программу в исключения и чтобы ТАМ разобрались в проблеме. Это все-равно, что разработчик игры просил бы создателей Windows исправить ошибку в ЕГО программе.
ttools должен был поступить следующим образом:
— найти причину, почему антивирус стал реагировать на его ПО;
— описать проблему с подробными сведениями — какой функционал ПО вызывает ложное срабатываение и при каких условиях;
— получить от разработчиков антивируса рекомендации, как поступить в возникшей ситуации (этой проблеме не один день и решения уже есть, причем много).
Только вот ни одного из этих пунктов ttools не сделал. И даже наоборот — стал ругаться с поддержкой, угрожать публикацией их переписки и т.п. Почему?
Как раз таки и нет — автор поста сразу потребовал добавить его программу в исключения и чтобы ТАМ разобрались в проблеме. Это все-равно, что разработчик игры просил бы создателей Windows исправить ошибку в ЕГО программе.
ttools должен был поступить следующим образом:
— найти причину, почему антивирус стал реагировать на его ПО;
— описать проблему с подробными сведениями — какой функционал ПО вызывает ложное срабатываение и при каких условиях;
— получить от разработчиков антивируса рекомендации, как поступить в возникшей ситуации (этой проблеме не один день и решения уже есть, причем много).
Только вот ни одного из этих пунктов ttools не сделал. И даже наоборот — стал ругаться с поддержкой, угрожать публикацией их переписки и т.п. Почему?
>Как раз таки и нет — автор поста сразу потребовал добавить его программу в исключения и
не врите
>ttools должен был…
т.е. срабатывание у антивируса, а я оказался должен? не согласен.
>Только вот ни одного из этих пунктов ttools не сделал. И даже наоборот — стал ругаться с поддержкой, угрожать публикацией их переписки и т.п. Почему?
а что, публикация официальной переписки, это угроза, и где я стал ругаться?
Всё уже, вопрос закрыт и решен. Пришел директор и признал ошибку сотрудника, с которым я переписывался, а вы зачем-то продолжаете злопыхать по инерции
не врите
>ttools должен был…
т.е. срабатывание у антивируса, а я оказался должен? не согласен.
>Только вот ни одного из этих пунктов ttools не сделал. И даже наоборот — стал ругаться с поддержкой, угрожать публикацией их переписки и т.п. Почему?
а что, публикация официальной переписки, это угроза, и где я стал ругаться?
Всё уже, вопрос закрыт и решен. Пришел директор и признал ошибку сотрудника, с которым я переписывался, а вы зачем-то продолжаете злопыхать по инерции
такое ощущение, что один человек пишет одно и тоже с под разными именами. даже слова одни и те же. «хаки» и «потенциально опасные приемы» это для любителей лирики. Я использую документированные функции, и вообще, у антивируса изначально к ним нет претензий, дело не в них.
Может я неправ, но считаю логичным в первую очередь обращение к разработчикам программы, из-за которой возникают затруднения.
Может и глупо конечно, но рассчитываю на адекватную помощь с их стороны.
Конечно, когда от сотрудников антивируса помощи нет остается только тот метод, о котором вы пишите.
Может я неправ, но считаю логичным в первую очередь обращение к разработчикам программы, из-за которой возникают затруднения.
Может и глупо конечно, но рассчитываю на адекватную помощь с их стороны.
Конечно, когда от сотрудников антивируса помощи нет остается только тот метод, о котором вы пишите.
Сотрудники антивирусной компании не телепаты и не могут знать, какой функционал у вашего ПО и куда оно там лезет. Не удивительно, что чтение памяти адресного пространства ДРУГИХ процессов вызвало подозрение. И это правильно. Такое поведение считается «хаком» и не должно использоваться в обычном ПО, которым и является ваш трейдер.
Если бы вы попросили оказать вам помощь, рассказали о тонкостях работы своего ПО — тогда и был бы нормальный адекватный ответ со стороны поддержки. Но вместо этого были лишь требования и ни одного шага навстречу.
Если бы вы попросили оказать вам помощь, рассказали о тонкостях работы своего ПО — тогда и был бы нормальный адекватный ответ со стороны поддержки. Но вместо этого были лишь требования и ни одного шага навстречу.
>Сотрудники антивирусной компании не телепаты и не могут знать, какой функционал у вашего ПО и куда оно там лезет
вообще-то это их работа, как я понимаю. если они этого не могут знать, то как их антивирус может что-то находить?
>Не удивительно, что чтение памяти адресного пространства ДРУГИХ процессов вызвало подозрение.
не вызвало. читайте внимательнее
>Такое поведение считается «хаком» и не должно использоваться в обычном ПО
это вы решаете?
>Если бы вы попросили оказать вам помощь, рассказали о тонкостях работы своего ПО — тогда и был бы нормальный адекватный ответ со стороны поддержки.
Я и просил оказать помощь всё это время, включая месяц переписки и переговоров до этого.
И никто не спросил меня о тонкостях работы ПО.
Вас не смущает, что тема уже закрыта признанием директора неправоты своего сотрудника?
вообще-то это их работа, как я понимаю. если они этого не могут знать, то как их антивирус может что-то находить?
>Не удивительно, что чтение памяти адресного пространства ДРУГИХ процессов вызвало подозрение.
не вызвало. читайте внимательнее
>Такое поведение считается «хаком» и не должно использоваться в обычном ПО
это вы решаете?
>Если бы вы попросили оказать вам помощь, рассказали о тонкостях работы своего ПО — тогда и был бы нормальный адекватный ответ со стороны поддержки.
Я и просил оказать помощь всё это время, включая месяц переписки и переговоров до этого.
И никто не спросил меня о тонкостях работы ПО.
Вас не смущает, что тема уже закрыта признанием директора неправоты своего сотрудника?
ttool, я выше ответил. а тут хочу добавить: ты можешь представить себе такой диалог (с JayDi), если бы и у антивируса и у твоего ПО код был бы открыт?
ccrypt,
твою позицию я понял.
Дело в том, что я много сил и времени потратил на разработку и отладку, и распространение исходников не входило (и не входит) в мои планы.
твою позицию я понял.
Дело в том, что я много сил и времени потратил на разработку и отладку, и распространение исходников не входило (и не входит) в мои планы.
Странно, у тебя же ПО копоративное, вряд ли его на торренты понесут. А фирмы сами собирать не будут, им саппорт нужен. А если будут, то можно выложить фривирсию, где чего-то важного не будет. Видимо, тебе больше всего не нравится, что кто-то другой на основе твоего код допишет функционал и деньги будет зарабатывать. Я так тебя понял.
Вирусы и вредоносные программы тоже используют «документированные функции», и что это меняет?
Раз сказали, что есть проблема — значит она есть. Не все же программы NOD определяет как подозрительные.
Что бы они делали интересно, если бы NOD32 вдруг среагировал на Microsoft Word? :)))
Тоже ответили бы ребятам из Редмонда что это их проблемы?
Тоже ответили бы ребятам из Редмонда что это их проблемы?
Шарашкина контора детектед
Программист и антивирус