» WinRAR (часть 2)

saqwe
У вас на видео вроде как 1.5 гига avi за несколько секунд с нулевым сжатием пакуется. То есть, у вас, похоже, настроено avi сохранять без сжатия. Не исключено, что эти гиги быстро улетели в дисковый кэш, заполнили его, а когда дело дошло до recovery record, уже началась реальная запись на диск, включая и отложенную. В любом случае, ориентироваться на скорость упаковки с нулевым сжатием нет смысла, оно всегда быстрее всего прочего.

EugeneRoshal

Нет, это политика данной AV конторы. Несколько лет назад в банке я поймал использовавший программы NirSoft реальный вирус Trojan-PSW.Win32.IEPass.a (Kaspersky AVP)/Trojan.PWS.Firefox.1 (DrWeb)/Trojan.PSW.IEPass (ClamAV), разобрал его на запчасти, отыскал FTP в Атланте (США) куда он копировал украденные пароли и номера кредитных карт, подчистил там около 100 тыс записей, и отослал заразу с результатами разбора в AV конторы. Троян добавили в базы, а касперские заодно с ним занесли в них и все использованные для его работы программы NirSoft мотивировав это тем что "Эти программы могут быть использованы для создания вредоносного ПО.", хотя собственно тело троянца было написано в виде скомпилированного BAT-файла в котором просто стояли команды для их вызова. Хозяин заразы только через несколько дней закрыл свой FTP, а до того я исправно его чистил от "урожая". И это при том, что местной полиции службой безопасности банка было сообщено и про заразу, и про сайт, и про его хозяина. Ответ шефа местной полиции полученный ими был прост - "У нас свободная страна и законом это не запрещено!".

EugeneRoshal

Цитата:

Ничего существенного там не менялось. И уж точно не добавлялось что-нибудь, напоминающее кейлоггер.

Хмм... Видимо, предыдущий код модуля распаковки SFX-архива был внесён в белый список. Тогда понятно, почему его изменение привело к мгновенной реакции антивирусов. Но как объяснить тот факт, что забугорные лаборатории отреагировали позже российских? Невольно возникают мысли о том, что кто-то пополняет свои базы за чужой счёт (причём в автоматическом режиме)

EugeneRoshal, оба архива сжимались с одинаковыми параметрами но почему-то с разной скоростью

pikorembo

Цитата:

Хмм... Видимо, предыдущий код модуля распаковки SFX-архива был внесён в белый список.

Вы уверены что мухобойки работают по принципу списков? Гораздо проще - есть база хэшей и сверка идёт с ней. Никаких чёрных-белых списков нет и не было в природе. А AV компании да, обмениваются данными и обычно не проверяют правильность внесения объекта в AV базы ибо весь их бизнес построен на страхе пользователей поймать заразу.

Вы подумайте сами как можно собрать базы в миллионы уникальных вирусов если за всю историю их существования всеми AV лабораториями планеты реально было обнаружено около 69 тыс вирусов и их разновидностей. Например ClamAV 0.98.7 сообщает: Protected from 4025220 Viruses:



, и он ещё скромно говорит мол 4 млн, а на своём сайте Касперский говорит: 325K+ вредоносных программ обнаруживается каждый день. Это же сколько вирусов с октября 1993-го года когда мадам придумала сиё пугало в их AV-базы попало?

Зимой когда сосед купил кошмаровского придя ко мне он с гордостью сказал:

- Я купил антивирус который ловит свыше 13 миллиардов вирусов!
- А откуда ты взял сей бред?
- Продавец в магазине сказал. Они это сами в офисе проверяли!

На деле свыше 90% записей в AV базах это или ложные срабатывания которые компании по рекламным соображениям не хотят вычищать, либо мусор. Чем больше AV база тем выше прибыль от продажи "эффективной" мухобойки, и не важно что она создана для конкретного региона и его реальной AV статистики - главное продать. Об этом в сентябре 93-го откровенно сказал Дима Лозинский (автор AidsTest):

- Чем больше вирусов знает моя программа тем лучше она продаётся, но если новых вирусов нет их надо придумать!

Правда фидошники его поймали на том что в сети появился новый вирус, никто его ещё и в глаза не видел и понятно не знает как с ним бороться, а у Димы сразу и мухобойка на него есть только заплати за новый AidsTest. Ну ему за эти художества мигом портрет поправили.

А новые "вирусы" ребятки добавляют оперативно - пару лет тому назад на работу к нам зашёл сотрудник одной AV конторы свою продукцию предложить. Мы мол нам не надо, есть, а он я типа бесплатно машину проверю, да и наше начальство велело. Ладно подсунули ему по NFS дерево портов FreeBSD AXP. Понятно только по чтению. Там немного, под 50 Гб только в ./ports/All и свыше 24000 файлов. Мухобойка трудилась три дня, зато отыскала ... 18795 новых, ранее не известных вирусов кои торжественно занесли в AV базы и до сих пор там числят утверждая что мол детект был правильный. А что код для nVAX на Intel не заведётся - не важно, главное чтобы базы пополнились.

Добавлено:
И вот вам свежий, злобный вирус. Угадайте с трёх раз какую шутку я проделал с почтенным ВирусТотал-ом. При том что файл абсолютно безопасен.

Victor_VG
А сами-то по ссылке смотрели? ВирусТотал тоже пишет, что файл безопасен. Они вашу шутку не поняли

Andarin

Дык я же знаю что именно им скормил и под каким соусом. Они же не просто так на уши встали:

Цитата:

Размер файла 1.1 MБ ( 1160116 bytes )
Тип файла unknown
Описание XZ compressed data
TrID     xz compressed container (85.7%)
QuickBasic BSAVE binary data (14.2%)

А тут к нам прилетала коллекция руткитов и эксплойтов - раз мы внутрь бинарника нос не сунули - значит он безопасен Это просто доказывает что виндовые мухобойки на деле файлы не проверяют, а смотрят по имени - есть в базе, сравнили хэши, нет такого - чистый, есть или похожий - зараза!

saqwe

Цитата:

оба архива сжимались с одинаковыми параметрами но почему-то с разной скоростью

Если там и данные, и параметры одинаковые, а скорость разная, остается предположить, что что-то еще нагружало систему параллельно с упаковкой. Или состояние дискового кэша было разным (пуст/заполнен).

EugeneRoshal

Цитата:

Ничего существенного там не менялось. И уж точно не добавлялось что-нибудь, напоминающее кейлоггер.

Интересно то, что антивирусы никак не среагировали на полностью аналогичный код в 64-битной версии SFX. Я даже начинаю подозревать, что это продолжение эксперимента с добавлением в базы безвредных программ на день-два с целью узнать - кто "неглядя" ворует детект. Любая мало-мальски серьёзная контора отдаст файл аналитикам и быстро уберёт фолс, а у "помоечных" антивирей детект так и останется.

На данный момент таких осталось трое:

Цитата:

Agnitum     Riskware.Monitor!     20151009
Antiy-AVL     RiskWare[Monitor:not-a-virus]/Win32.Ardamax     20151011
NANO-Antivirus     Riskware.Win32.Ardamax.dxrown     20151011

Benchmark

Так мои ночные эксперименты показали что если их скрипты-мухобойки не опознали файл или видят сертификат мелкомягких (а там была пара переименованных файлов) то просто молча берут под козырёк - чисто, запускайте! И ребята рассказали что недавно коллега из Австралии сунул им переименованный в Explorer.exe архив tar+gzip размером в 48 Мб с прикрученным к нему EXE заголовком типа это настоящий Explorer от мелкомягких с честной версией винды 27.0.678.19798 правда с коллекцией реальной заразы внутри, в том числе и небезызвестными Virus.Win9x.CIH, VaultCript и прочей пакости, но мухобойки на VirusTotal пропустили всю заразу мимо ушей просто объявив файл безопасным даже не проверяя его содержимое - у него подлинный сертификат Микрософт, значит программа выпущена ей и заразы там нет по определению! Я с ними подобный эксперимент проводил ещё лет пять или шесть тому назад, тогда же про обратной связи писал их админам про результат с описанием методики, листингом файлов и списком присланной на проверку заразы - а они ничего не изменили, хотя тогда полгода грозными письмами закидывали типа как я по таким мелочам посмел их беспокоить. Как был VirusTotal тогда показометром, так он им и остался. Рекламно-показательный сервис для успокоения новичков, бабушек и развесистых лопухов. А вот с Анубис-ом сей номер не пройдёт - там сначала файл на запчасти разберут, исследуют, если надо люди подключатся и только после дадут ответ с чем дело имеешь.

Вот, прошу любить и жаловать:

Цитата:

Task Overview
Task ID:     10995d8678748829475515551447dfd4d
File Name:     winrar-x64-53b5.exe
MD5:     16d8f6f6aaae94d6e15ad9ed2fd6a67f
Analysis Submitted:     2015-10-11 12:20:39
Time Remaining:     1 day, 29 hours, 10 minutes and 2 seconds

кинул им тот же файл и робот мгновенно подключил людей - он не смог опознать бинарник, но сообразил что это хитрый архив, а тут уже людям разбираться. Сейчас с их инженером пересмеиваемся. Он уже понял и оценил шутку.

Цитата:

Если там и данные, и параметры одинаковые, а скорость разная, остается предположить, что что-то еще нагружало систему параллельно с упаковкой

Так дело в том, что проверяю CrystalDiskMark'ом после испытания винраром и получаю

слева тот, что быстро добавляет, справа тот, что тормозит


Цитата:

Или состояние дискового кэша было разным

А это что такое и как его проверить?)

saqwe

Судя по диким параметрам справа у вас в машине контроллер диска сыпется и вероятно за компанию с ОС. Данные явно летят в быстрый буфер DRAM, а не на винт и даже не на новомодные старые-добрые микросхемы EEPROM (разработка конца 70-х - начала 80-х, а рекламщики кричат мол они их только что придумали ) которые выкатили на рынок под названиями Flash/SSH/Hibrid HDD ибо они физически с такой скоростью на сегодня писать 100 Мб блоки которые порождает этот тест увы, не могут. Тут с вероятностью 98% наблюдается неисправность ЭВМ как системы в целом.

saqwe

Цитата:

А это что такое и как его проверить?)

Если тест выполняется на одном и том же компьютере и наборе файлов, перезагружайте компьютер перед выполнением каждого теста, чтобы сбросить кэш.

После обновления до версии 5.21 перестал отображаться комментарий архива справа от списка файлов, хотя галочка "Показывать комментарий архива" стоит. Пробовал убрать галочку и поставить ее снова - не помогает. Помогло удаление WinRAR и повторная установка.

popkov
Размер окна комментария можно менять перетаскиванеим его левой границы. Возможно вы его в ноль задвинули. В такой ситуации нужно развернуть WinRAR на весь экран и посмотреть, не обнаружилась ли граница этого окна. После чего передвинуть ее куда требуется.

Тихое обновление русской беты 5 на сайте:
http://www.rarlab.com/rar/wrar530b5ru.exe
http://www.rarlab.com/rar/winrar-x64-530b5ru.exe
Напомню - английская бета обновляется втихую постоянно, русская - в отдельных случаях.

shadowmans56

Цитата:

Тихое обновление русской беты 5 на сайте

Пока точно не скажу, но, возможно, придется делать как минимум еще одну бету. Люди активизировались спустя 3 месяца после старта бета-тестирования и начали слать новые ошибки.

EugeneRoshal

Цитата:

Пока точно не скажу, но, возможно, придется делать как минимум еще одну бету. Люди активизировались спустя 3 месяца после старта бета-тестирования и начали слать новые ошибки.

Скорее всего народ проснулся из-за шумихи вокруг "критической уязвимости". Нет худа без добра.

А про количество бет - ну так у некоторых версий WinRAR их аж до 8 штук было.

shadowmans56

Ну и что? И сегодня лежат новые сборки английской и русской 530b5 с исправлениями найденных ошибок. Так же и rarlng_unsigned.rar. Просто нужно иногда заглядывать на сайт проекта.

EugeneRoshal

Меня лично факт устранения обнаруженных ошибок полностью устраивает. Иначе можно получить эффект подобный этому:

Цитата:

NB 2.1.44.409 logПодробнее...
При копировании папки с файлами NB рвёт соединение после передачи каждого файла. FTP плагин из FAR2 копирует нормально - сплошным потоком.

и его продолжению:

Цитата:

NB 2.1.44.411 без изменений

- баг-репорта как обычно нет (уже не раз с ним про это говорили, а его обычный ответ "Писал ... года тому назад!"), и понятны последствия:

Цитата:

Alexyz21

А на ГитХаб отписать? Михаил был там шесть дней назад и обновил ветви master и Far3. Последний не закрытый инц#166 не закрыт только из-за осталось исключение c0000417 по SCP, AV на XP SP2 устранено. А тут он бывает когда у него есть свободное время. В сутках же не бесконечно часов и он не Бриарей одновременно за всем следить и мгновенно править обнаруженные ошибки.

P.S.

Для переводчиков (если кто на сайт проекта не заглядывает) - 16.10.2015 14:59 мск обновлены rarlng_unsigned.rar, winrar-x64-53b5.exe и wrar53b5.exe. Информация для сведения, надеюсь вы в курсе.

EugeneRoshal
Стилистический вопрос:
Почему WinRAR кладет rarreg.key в папку с программой? Не лучше ли его класть в ProgramData\WinRAR? Так было бы логичнее, учитывая современную практику (коей уже лет 8).

И еще вопрос:
Вы используете 7zxa.dll весьма старую. Почему столь старую? Она, ведь, нужна для работы с архивами 7-Zip? Я взял новенькую 7z.dll от 15.09, переименовал в 7zxa.dll и заменил старую 9.38. WinRAR открыл архив 7z и распаковал его.

ItsJustMe

А для чего чесать левой задней ногой правое переднее ухо? Симлинк ProgramData\WinRAR появился в Vista, переделка потребует лишней бессмысленной работы, да и *NIX правила поиска ключа может по дороге поломать. Это не говоря о работе со сменных носителей или в качестве встраиваемого элемента пакетов ПО использующих систему индивидуального лицензирования модулей. У меня через дорогу банкиры свой софт пишут и они именно так и делают - их клиентская программа использует rar для бэкапа и проверяет наличие rarreg.key в своём каталоге и если его нет, то выводит сообщение о том что функционал резервного копирования не лицензирован и отключает его наглухо до переустановки программы их сотрудником (сам пользователь её не переставит - программа блокируется на серверах банка). Ну а тот понятное дело проверяет всё, что в машине стоит - банк заботится о своих интересах.

А зачем 7zxa.dll (7z Standalone Extracting Plugin) обновлять? Формат архива у 7-Zip с тех времён вроде не менялся.

ItsJustMe

Цитата:

Почему WinRAR кладет rarreg.key в папку с программой?

Он его может брать и из %appdata%\winrar, так что кому где удобнее, там и можно держать. При автоматической установке ключа, например, после перетаскивания rarreg.key на окно WinRAR, сначала WinRAR попытается скопировать ключ в папку с программой, а если не получилось - в %appdata%\winrar.

Цитата:

Так было бы логичнее, учитывая современную практику (коей уже лет 8).

Если Windows настроена с учетом современной практики, то есть, UAC не отключен, ключ при перетаскивании скопируется в %appdata%\winrar.

Цитата:

Вы используете 7zxa.dll весьма старую. Почему столь старую?

Январь 2015 это не старая. Обновление этой dll требует последующего тестирования как мной, так и бета-тестерами. Поэтому я обновляю ее не слишком часто и, желательно, в начале бета-тестирования очередной версии WinRAR.

Victor_VG

Цитата:

Симлинк ProgramData\WinRAR появился в Vista

Нет, это не симлинк, это папка. И ее сейчас не существует, WinRAR ее не создает. Если положить ключ в Roaming\WinRAR пользователя, WinRAR его там найдет и будет зарегистрирован, но только, естественно, для данного пользователя. Для регистрации для всех пользователей он кладет ключ к себе в папку с программой (C:\Program Files\WinRAR). Это вполне подходящее место, никто и не спорит, но, вот, ProgramData\WinRAR было бы... красивее.
Поэтому и вопрос стилистический, не более того.


Цитата:

А зачем 7zxa.dll обновлять? Формат архива у 7-Zip с тех времён вроде не менялся.

Формат не менялся, но автор 7-Zip, небезызвестный Igor Pavlov за прошедшие со времен 7-Zip 9.38 годы... Нет, годы прошли со времен 9.20, со времен же 9.38 прошел только один год (почти), но все равно какие-то вещи в 7z.dll поменялись. Надо думать, не просто так поменялись, а для чего-то полезного, раз автор их поменял.
В любом случае, у меня замена вроде как работает.

20:53 16-10-2015
Цитата:

И еще вопрос: Вы используете 7zxa.dll весьма старую.

Уже был в топике этот вопрос и ответ на него http://forum.ru-board.com/topic.cgi?forum=5&topic=32358&start=4680#6

EugeneRoshal

Цитата:

Если Windows настроена с учетом современной практики, то есть, UAC не отключен, ключ при перетаскивании скопируется в %appdata%\winrar.

В этом-то и дело, %appdata%\winrar = C:\Users\<user>\AppData\Roaming\WinRAR, то есть, это папка данного пользователя. Понятно, для чего WinRAR кладет ключ в папку с программой, для того, чтобы к конкретному пользователю не привязываться. И это совершенно правильно и логично. Просто еще раз, в ProgramData\WinRAR, папку данных компьютера, а не пользователя, было бы красивее. ИМХО.


Цитата:

Январь 2015 это не старая. Обновление этой dll требует последующего тестирования как мной, так и бета-тестерами. Поэтому я обновляю ее не слишком часто и, желательно, в начале бета-тестирования очередной версии WinRAR.

Got it.

ItsJustMe 21:47 16-10-2015
Цитата:

Надо думать, не просто так поменялись, а для чего-то полезного

в частности добавили распаковку rar5, но в отношение 7z разве что-то поменялось?

Добавлено:
ItsJustMe 21:47 16-10-2015
Цитата:

Надо думать, не просто так поменялись, а для чего-то полезного

в частности добавили распаковку rar5, но в отношение 7z разве что-то поменялось?

Добавлено:
20:53 16-10-2015
Цитата:

И еще вопрос: Вы используете 7zxa.dll весьма старую.

Уже был в топике этот вопрос и ответ на него http://forum.ru-board.com/topic.cgi?forum=5&topic=32358&start=4680#6

regist123
EugeneRoshal был весьма любезен и без лишних проволочек ответил на вопрос, даже не смотря на то, что вопрос ему задали не в первый раз. Не стал с умным видом посылать рыться в старых сообщениях, за что ему большое человеческое спасибо. Он вообще не оставляет без внимания вопросы в данной теме, частенько заглядывает и подробно отвечает.


Добавлено:
regist123

Цитата:

но в отношение 7z разве что-то поменялось?

Да, код Lzma менялся.

regist123

Код LZMA менялся из-за обнаружения ошибок (lzma1509.7z::.\DOC\lzma-history.txt) после 9.39 beta:

Цитата:

15.09 beta 2015-10-16
-------------------------    
- The BUG in LZMA / LZMA2 encoding code was fixed.
The BUG in LzFind.c::MatchFinder_ReadBlock() function.
If input data size is larger than (4 GiB - dictionary_size),
the following code worked incorrectly:
- LZMA : LzmaEnc_MemEncode(), LzmaEncode() : LZMA encoding functions
for compressing from memory to memory.
That BUG is not related to LZMA encoder version that works via streams.
- LZMA2 : multi-threaded version of LZMA2 encoder worked incorrectly, if
default value of chunk size (CLzma2EncProps::blockSize) is changed
to value larger than (4 GiB - dictionary_size).

а спецификации LZMA (lzma1509.7z::.\DOC\lzma-specification.txt) последний раз уточнялись 14.06.2015:

Цитата:

LZMA specification (DRAFT version)
----------------------------------

Author: Igor Pavlov
Date: 2015-06-14

This specification defines the format of LZMA compressed data and lzma file format.