» Обзор антивирусов под Windows

George S
Авира не так давно ругалась на некоторые ThinApp сборки, только что проверил штук 800, все нормально, значит, сделали выводы. А на всякие кейгены крысится постоянно, но это ничего, не напрягает.

Добавлено:
gjf
Там была полная хрень - упаковка NSIS, внутри троянец wmplayer.exe и папка с обычными файлами программы. На самом деле никакой портабельной сборки, чистая и примитивная самоделка.

Astra55
Ну в таком случае отсутствие детекта может быть истолковано и в пользу: если нет точки входа, то троянец в архиве не представляет никакой опасности.

Astra55
По поводу кейгенов пошла ДИКАЯ мода за границей (тьфу, тьфу, тьфу, что наши лидеры каспер, нод и дрвеб не полностью эту моду переняли). Они теперь всё кейгенное пытаются тварью обозвать - это конченный сговор с вендорами лицензионного ПО(и по ходу это скоро станет стандартом - кейген, кряк, патч - значит вредоносно - но хоть писали бы некоторые, что это не троян, а прямо - "keygen, not a virus"). При этом например могу судить по запросам вендоров в Икарусовский российский суппорт - таких запросов за полгода больше 10 было.


С другой стороны могу объяснить вредоносность кряка не со стороны порчи файлов, создания бот-сетей и т.д. околокомпьютерного. Итак приходит к Вам ОБЭП и иже с ними - находит кейген или саблю ими любимую, а реально Вы и не знали о их существовании - соответственно заводится ненужное уголовное дело или разборка с раздачей на лапу - разве это не вредоносно(чисто субъективно)? Сисадмин должен знать, что какой-то неродивый сотрудник-аморал хранит например кейген 3дмарка или любимого скринсейвера платного - обязательно должен знать и дать по шапке нехорошему человеку, подставляющему фирму на бабло и уголовку! Может быть и правда эта модная фишка нужна. Два года назад велись споры о целесообразности включения фаера в антивирь, а сейчас уже не ведутся - почти все вендоры включили его в свои комбайны(кроме упертых как ДрВеб и Икарус). Думаю и ловля "вскрывальщиков" станет стандартной фишкой, только бы без перегибания палки, чтобы писалось открытым текстом, что это не вирус, троян и т.д., если это безобидный патч или кейген.

George S


Цитата:

только бы без перегибания палки, чтобы писалось открытым текстом, что это не вирус, троян и т.д., если это безобидный патч или кейген.

Вот. Именно так. А манеру обозвать обычный кейген трояном\червем, иначе как сознательным враньем и сговором с софтопроизводителями не назвать.

George S

Цитата:

По поводу кейгенов пошла ДИКАЯ мода за границей

Речь о кейгенах упакованных или открытых?


Цитата:

Итак приходит к Вам ОБЭП и иже с ними - находит кейген или саблю ими любимую, а реально Вы и не знали о их существовании - соответственно заводится ненужное уголовное дело или разборка с раздачей на лапу

Эээ, уважаемый, либо мы с вами в разных странах живём, либо вы реально не знаете процесса в этом русле! Ну да не буду оффтопить...

gjf

Цитата:

троянец в архиве не представляет никакой опасности

Вроде я ясно сказал - NSIS. Это не пакер, а инсталлятор. Поэтому все файлы находились в экзешнике, запуск которого активировал троянца. Какие уж тут архивы? Другое дело, что распаковывается NSIS на раз, поэтому извлечь содержимое очень легко.

Цитата:

ДИКАЯ мода за границей

Я ещё в старой теме упоминал что, это законодательство разных стран по разному определяет понятие вредоносная программа.
Производитель программ защиты просто обязан это выполнять иначе продукт не пройдёт сертификацию. О производителях лицензионного ПО ему заботится совсем не обязательно.
Это как бороться за мир во всём мире. Он в первую очередь обеспокоен легитимностью своего продукта. И задача сделать это так, чтобы не оторвать от себя часть пользователей дать поле для маневра. Не один из производителей намеренно не называет кейген трояном если его там нет.
Он тоже не дурак и не собирается пилить сук под собой.
ИМХО Нашим производителям придётся тоже этим плотно заниматься, так как они не собираются ограничивать себя только внутренним рынком.

Astra55
Итак, для начала исключим ситуацию, в которой Thinstall можно настроить на полную песочницу, в которой можно безопасно троян запускать - это для простоты.

Когда создаётся портативная сборка Thinstall, все файлы помещаются в единый архив. А запустить все эти файлы можно только если при сборке были сделаны точки входа - экзешники, которые активируют файл из архива. Если их нет, то фактически имеем архив с трояном. По умолчанию не все антивирусы проверяют архивы (да и глупо это имхо), но все антивирусы проверяют исполняемые файлы. Дело в том, что без прямой точки входа данный троян представляет собой не исполняемый файл, а архив, а потому в проверку включен не будет.

Это если по уму.

gjf
Опять за рыбу деньги При чем тут Thinstall, когда был скрипт NSIS, скомпиленный в экзешник. Это может быть даже не инсталлятор, а обычный запускаемый файл. Если Вы считаете такое архивом, который не должен проверяться, дело хозяйское. Насколько я понимаю, в тех случаех, когда антивирус не способен распаковать исполняемый контейнер (назовем это так) своими средствами, он обязан запустить его в виртуале и уже в запущенном, а следовательно, распакованном состоянии анализировать на предмет опасных действий. Любое другое поведение делает антивирус совершенно бесполезной штукой, поскольку любой нестандартный пакер защитит заразу от обнаружения.

Astra55

Цитата:

При чем тут Thinstall, когда был скрипт NSIS, скомпиленный в экзешник

Цитата:

моя сборка была в VMWare ThinApp

Цитата:

Если Вы считаете такое архивом, который не должен проверяться, дело хозяйское. Насколько я понимаю, в тех случаех, когда антивирус не способен распаковать исполняемый контейнер (назовем это так) своими средствами,

Должен проверяться, если включена проверка.

Цитата:

По умолчанию не все антивирусы проверяют архивы

Цитата:

он обязан запустить его в виртуале и уже в запущенном, а следовательно, распакованном состоянии анализировать на предмет опасных действий.

Вы представляете, сколько системных ресурсов и сколько времени при таком подходе займёт скан? Сомневаюсь, что это так.


Цитата:

любой нестандартный пакер защитит заразу от обнаружения.

По этой печальной причине зловредами априори считается всё, запакованное ломанной Themida и т.д.

dgsjsj


Цитата:

Не один из производителей намеренно не называет кейген трояном если его там нет.
Он тоже не дурак и не собирается пилить сук под собой.

Это ошибка, или все так и задумывалось?

Если ошибка, и вы хотели написать "Ни один из" - то вы ошибаетесь. Авира ни один из виденных кейгенов кейгеном не называет - все сплошь трояны\вормы.

MrThief

Цитата:

Авира ни один из виденных кейгенов кейгеном не называет - все сплошь трояны\вормы.

Ну не все... Например в ветке по Неро на Авиру как раз мало ругались. Хотя казалось бы поддержать собратьев-немцев, незаслуженно страдающих от пиратов - святое

gjf

Цитата:

Сомневаюсь, что это так

Так ведь уже обсуждали этот вопрос. Ломаная фимка - это семечки и пустяки, есть куда более серьезные штуки. И вот их никакими другими способами не распакуешь. Именно поэтому я больше полагаюсь на фаер и HIPS, нежели на антивирус. Разумеется, это тоже не гарантия, но до сих пор успешно разбирался со всякими левыми процессами. Автоматика тут не поможет.

Astra55

Цитата:

Именно поэтому я больше полагаюсь на фаер и HIPS, нежели на антивирус.

Начали во здравие, закончили за упокой. Мы сейчас обсуждаем результаты вашего тестирования антивирусов или фаеров/хипсов?

gjf


Цитата:

Ну не все... Например в ветке по Неро на Авиру как раз мало ругались. Хотя казалось бы поддержать собратьев-немцев, незаслуженно страдающих от пиратов - святое

Та.. В этих ветках и каспер лажает, и нод молодец.. Я давно уже полагаюсь больше на свои наблюдения, чем на сетевых анонимусов.
У меня авира ругалась в среднем на 2 кейгена\патча из 3х. И, что собственно меня и бесит, называла их вовсе не кейгенами.
Может у кого-то этих фолсов еще больше, вполне может быть, просто так сложилось, что у меня на компе за последние лет 5 долго жили только авира да каспер, и набегом побывал веб, но долго не прожил, поэтому статистики у меня аж на два с половиной антивируса.

MrThief
Да допустил орфографическую ошибку. Направление мысли истолковано, верно.

Цитата:

Авира ни один из виденных кейгенов кейгеном не называет - все сплошь трояны\вормы.

Да это так. Просто в в её классификации нет кейгенов, из того что есть в Авира Virus Science самое близкое подходящее определение Trojan horses (short Trojans)
краткий перевод определения.
(Мы говорим о программах, которые на несут особую функцию, в большинстве случаев, являясь деструктивными.)

dgsjsj


Цитата:

Мы говорим о программах, которые на несут особую функцию, в большинстве случаев, являясь деструктивными.

Есть вот такое определение троянцам (которое на 100% отвечает названию, деревянное изделие карфагенян знают все, я думаю?):

"В данную категорию входят программы, осуществляющие различные несанкционированные пользователем действия: сбор информации и ее передачу злоумышленнику, ее разрушение или злонамеренную модификацию, нарушение работоспособности компьютера, использование ресурсов компьютера в неблаговидных целях.

Отдельные категории троянских программ наносят ущерб удаленным компьютерам и сетям, не нарушая работоспособность зараженного компьютера (например, троянские программы, разработанные для распределенных DoS-атак на удаленные ресурсы сети)."

Где в, скажем, кейгене (реально безобидном, без пристегнутого вредителя) хоть что-то из перечисленного? Ничего деструктивного, только созидательное (ведь кейген создает ключ ) Какой же он троянец тогда?
Вот это и бесит.

Цитата:

Где в, скажем, кейгене (реально безобидном, без пристегнутого вредителя) хоть что-то из перечисленного? Ничего деструктивного, только созидательное

А разве обход защиты автора программы не является разрушительным действием?

MrThief

Цитата:

называла их вовсе не кейгенами

Ну может предусмотрен термин на упаковщика. 2 кейгена из 3 - очень похоже на статистику, кого пакуют, а кого нет. А по поводу фалсов на упаковщики - это уже обсуждалось, неизбежная фигня...

acro

Цитата:

А разве обход защиты автора программы не является разрушительным действием?

Вы, сдается мне, плохо представляете что такой кейген, иначе бы высказались в другом ключе С каких это пор кейгены стали обладать разрушительным действием? Может и сериалы тоже такие же страшные штуки, и их надо детектить как заразу?

acro

Цитата:

А разве обход защиты автора программы не является разрушительным действием?

Если оно санкционировано пользователем - с чего вдруг?


Цитата:

Ну может предусмотрен термин на упаковщика.

И называть их троянами, причем разными?


Цитата:

А по поводу фалсов на упаковщики - это уже обсуждалось, неизбежная фигня.

Почему-то ни каспер, ни веб их вредителями не считают (у веба было 1 или 2 фолса на всю папку install, если мне память не изменяет). Так что по-моему таки "избежная", только не для всех.

MrThief
Вы всё-таки видимо это не читали.

Цитата:

С каких это пор кейгены стали обладать разрушительным действием?

Если вникнуть в этимологию слова "разрушительный", то вполне очевидно, что использование (пусть и санкционированное пользователем) кейгена, в первую очередь направлено на получение им цифро-буквенной комбинации, способом исключающим заложенный тому, который предусмотрен автором программы. Следовательно разрушающим механизм ее последовательного использования.
Понимаете о чем я?

gjf
Читал, но не исправился в своем убеждении, что вещи надо называть своими именами.
А то, что у кого-то нет возможности или желания это делать - это его личные проблемы, а я предпочту другого производителя почестнее и посостоятельнее в техническом плане.
Ну и вообще - в приведенном отрывке четко написано - "извините, мы не в состоянии отличить мух от котлет, поэтому будем считать что мух не существует (как вариант - мухи это такая пикантная добавка, чтобы жизнь разнообразить)". Т.е. вендор признался в своей несостоятельности. Так стоит ли использовать его продукт?
Такое мое имхо.

acro

Цитата:

Понимаете о чем я?

Естественно понимаем. Но вы знаете, если я доверил какому-либо вендору заботу о безопасности своего компьютера, то пусть будет этим горд, и не рассказывает как мне жить. Иначе получится вполне предсказуемый эффект - я расскажу куда ему пойти. Пусть озаботится тем, чтобы у меня была легальная лицензия на его продукт, а мои методы добывания работоспособных прог других производителей не его ума дело.
Особенно такая ситуация доставляет тем, что за ловлей блох они (повторюсь - мои нападки идут на авиру, что обусловлено историей пребывания ее у меня на компе) никак не доведут до ума свой вебмонитор, и, насколько я в курсе, до хорошего противостояния руткитам им очень далеко. Есть реальные места для приложения усилий по защите МЕНЯ, но они предпочитают защищать производителей софта. Их право. Как и мое - сменить антивирус.

MrThief
Мысль понятна и возражений нет.
Будет реплика или ИМХО на языке форума "Если пользуетесь продуктом то, надо как то либо принимать его идеологию, либо выработать своё отношение к ней и не ожидать невозможное.

MrThief
Вы когда-нибудь проты снимали?

gjf


Цитата:

Вы когда-нибудь проты снимали?

Только asprotect
Потом понял что на реального ломателя я не гожусь, а кулхацкерством заниматься бессмысленно.
Я вроде бы догадываюсь что вы имеете ввиду, поэтому попробую ответить с упреждением.
Есть ДрВеб и Каспер, которые осиливают фемиду, старфорс и иже с ними. Как - я не знаю, и когда впервые поставил себе 5го веба - сам тащился от "до чего техника дошла".
Поэтому аргумент о том, что другой вендор это сделать не смог - не приму.

Если не угадал вопрос - пишите, отвечу как смогу

MrThief

Цитата:

Есть ДрВеб и Каспер, которые осиливают фемиду, старфорс и иже с ними.

Да не снимают они проты!!! Это нереально во всех отношениях. Только виртуальная среда, в которой запускается распаковка. И никак иначе быть не может. В принципе.

MrThief

Цитата:

Есть ДрВеб и Каспер, которые осиливают фемиду, старфорс и иже с ними.

Яплакалъ. Больше говорить не надо. Старфорса хватило.

gjf


Цитата:

Яплакалъ. Больше говорить не надо. Старфорса хватило.

Т.е.?

Astra55

Цитата:

Да не снимают они проты!!! Это нереально во всех отношениях. Только виртуальная среда, в которой запускается распаковка. И никак иначе быть не может.

А мне честно говоря без разницы как они "раздевают" запакованное. Для меня главное что они это делают, а другие - нет.