 |
|
Модераторы: Poseidon, Snowy, bems, MetalFan |
 
|
|
Процедура, в которой антивирус находит вирус, поиск всех файлов в папке с расширением 
| Upgrader |
|
|||
|
Новичок Профиль Группа: Участник Сообщений: 16 Регистрация: 28.8.2007 Репутация: нет Всего: нет |
Только начал такой процедурой пользоваться, антивирус Dr.Web стал видеть в программе вирус AdWare Adware.ResearchAd.origin.
Как от этого можно избавиться? Я ж не вирус пишу  А если искать все (*.*), антивирус молчит. |
|||
|
||||
Дата 21.1.2008, 15:57 (
Загрузка ...
| RomanEEP |
|
|||
|
Опытный  Профиль Группа: Участник Сообщений: 424 Регистрация: 18.5.2006 Где: Коломна Репутация: 5 Всего: 8 |
Наверное аналогичный код использовался вирусописателями для нахождения заражаемых файлов
Можно попробовать просто чуть-чуть изменить алгоритм, например завести Path + '*.exe' в отдельную переменную или проверять подходит ли расширение файла уже в цикле |
|||
|
||||
| MetalFan |
|
|||
 Аццкий Сотона Профиль Группа: Комодератор Сообщений: 3815 Регистрация: 2.10.2006 Где: Moscow Репутация: 62 Всего: 128 |
неверная проверка. а если это скрытая допустим директория? -------------------- There are always someone smarter than you... |
|||
|
||||
| W4FhLF |
|
|||
 found myself Профиль Группа: Участник Клуба Сообщений: 2831 Регистрация: 2.12.2006 Репутация: 6 Всего: 121 |
Т.е. ругается в процессе поиска или при сканировании файла?
-------------------- "Бог умер" © Ницше "Ницше умер" © Бог |
|||
|
||||
| Alexeis |
|
|||
 Амеба  Профиль Группа: Админ Сообщений: 11743 Регистрация: 12.10.2005 Где: Зеленоград Репутация: 109 Всего: 459 |
Upgrader, знакомая ситуация. Тут 2 выхода. Либо глушить веба, либо слать им образчик "вируса", чтобы они поправили сигнатурки.
-------------------- Vit вечная память. Обсуждение действий администрации форума производятся только в этом форуме гениальность идеи состоит в том, что ее невозможно придумать |
|||
|
||||
| Upgrader |
|
|||
|
Новичок Профиль Группа: Участник Сообщений: 16 Регистрация: 28.8.2007 Репутация: нет Всего: нет |
При проверке файла на вирусы (и антивирус на лету проверяет все запускаемые файлы) |
|||
|
||||
| W4FhLF |
|
|||
|
found myself Профиль Группа: Участник Клуба Сообщений: 2831 Регистрация: 2.12.2006 Репутация: 6 Всего: 121 |
Не знаю, пробовал по-всякому твой код, у меня Dr.Web молчит. Проверял на virustotal.com
-------------------- "Бог умер" © Ницше "Ницше умер" © Бог |
|||
|
||||
| Alexeis |
|
|||
|
Амеба Профиль Группа: Админ Сообщений: 11743 Регистрация: 12.10.2005 Где: Зеленоград Репутация: 109 Всего: 459 |
Так еще зависит от версии компилятора + сочетание с другим кодом. Не бывает таких маленьких сигнатур, чтобы только одну процедуру включали. -------------------- Vit вечная память. Обсуждение действий администрации форума производятся только в этом форуме гениальность идеи состоит в том, что ее невозможно придумать |
|||
|
||||
| mmvds |
|
|||
 Бывалый Профиль Группа: Участник Сообщений: 230 Регистрация: 22.12.2007 Репутация: нет Всего: 6 |
Аналогично, компилятор delphi 7, на вирустотале не один антивирь не ругается, даже параноидальная панда. А вообще в одном из стареньких номеров "Хакера" была статья по несложным методам "чистки" кода - разбив строковых констант, вынос нескольких инструкций в отдельную процедуру, изменение точки входа и т.д. |
|||
|
||||
| Rodman |
|
|||
 CIO Профиль Группа: Участник Сообщений: 6144 Регистрация: 7.5.2006 Где: Ukraine ⇛ Kyiv ci ty Репутация: 7 Всего: 122 |
|
|||
|
||||
| Akella |
|
|||
 Творец Профиль Группа: Модератор Сообщений: 18485 Регистрация: 14.5.2003 Где: Корусант Репутация: 36 Всего: 329 |
|
|||
|
||||
| W4FhLF |
|
||||||
|
found myself Профиль Группа: Участник Клуба Сообщений: 2831 Регистрация: 2.12.2006 Репутация: 6 Всего: 121 |
Ну поэтому я и использовал две версии компилятора, а так же пробовал оконное и консольное приложение, так же писал после процедуры поиска запуск всех exe с пом. WinExec(в этом случае suspisious выдали Panda и VBA32). Насчёт длины сигнатур, это всё понятно. Но они бывают абсолютно разными, к тому же сегодня сигнатуры в классическом варианте в АВ не используются почти. Специапльно скомпилировал такой код и проверил на virustotal.com:
Резалты:
Это сообщение отредактировал(а) W4FhLF - 22.1.2008, 17:46 -------------------- "Бог умер" © Ницше "Ницше умер" © Бог |
||||||
|
|||||||
| Upgrader |
|
|||
|
Новичок Профиль Группа: Участник Сообщений: 16 Регистрация: 28.8.2007 Репутация: нет Всего: нет |
С расширением exe нормально, а с xls - вирус.  В данный момент нужно как раз xls Это сообщение отредактировал(а) Upgrader - 22.1.2008, 17:53 |
|||
|
||||
| W4FhLF |
|
|||
|
found myself Профиль Группа: Участник Клуба Сообщений: 2831 Регистрация: 2.12.2006 Репутация: 6 Всего: 121 |
Держи эту строку зашифрованной, чтобы АВ не смог её проэмулировать, а перед передачей в функцию расшифровывай отдельно. -------------------- "Бог умер" © Ницше "Ницше умер" © Бог |
|||
|
||||
| Virtuals |
|
||||
|
Опытный Профиль Группа: Участник Сообщений: 476 Регистрация: 27.11.2006 Репутация: 3 Всего: 11 |
такой код оптимизатор компилятора превратит в '*+.exe'  нужно
|
||||
|
|||||
|
|
| Правила форума "Delphi: Общие вопросы" | |
|
|
Запрещается! 1. Публиковать ссылки на вскрытые компоненты 2. Обсуждать взлом компонентов и делиться вскрытыми компонентами
Если Вам понравилась атмосфера форума, заходите к нам чаще! С уважением, Snowy, MetalFan, bems, Poseidon, Rrader. |
| 0 Пользователей читают эту тему (0 Гостей и 0 Скрытых Пользователей) | |
| 0 Пользователей: | |
| « Предыдущая тема | Delphi: Общие вопросы | Следующая тема » |
[ Время генерации скрипта: 0.1494 ] [ Использовано запросов: 22 ] [ GZIP включён ]
Реклама на сайте Информационное спонсорство
|
|
По вопросам размещения рекламы пишите на vladimir(sobaka)vingrad.ru
Отказ от ответственности Powered by Invision Power Board(R) 1.3 © 2003 IPS, Inc. |