Скомпилированные в VB6 EXE всё чаще принимаются за вирус.

Разговоры на любые темы: вы можете обсудить здесь какой-либо сайт, найти единомышленников или просто пообщаться...
Mikle
Изобретатель велосипедов
Изобретатель велосипедов
Аватара пользователя
 
Сообщения: 3829
Зарегистрирован: 25.03.2003 (Вт) 14:02
Откуда: Туапсе

Скомпилированные в VB6 EXE всё чаще принимаются за вирус.

Сообщение Mikle » 16.06.2018 (Сб) 13:50

Собственно subj.
Недавно бился над своей игрой, на virustotal более десяти ложных срабатываний, с помощью Teranas удалось побороть - пришлось отказаться от оптимизаций при компиляции и заменить запись в файл (всего лишь ini-файл конфигурации) с Open\Put\Close на API функции. На virustotal стало чисто, но народ жалуется, что защитник десятки ругается.
Сейчас скомпилировал пример мультипоточности от The Trick, фрактал Джулия. Результат: https://www.virustotal.com/#/file/b5214 ... /detection

The trick
Постоялец
Постоялец
 
Сообщения: 520
Зарегистрирован: 26.06.2010 (Сб) 23:08

Re: Скомпилированные в VB6 EXE всё чаще принимаются за вирус

Сообщение The trick » 16.06.2018 (Сб) 14:36

Бывает такое с Avast'ом, я обычно посылаю отчет о ложном срабатывании. Сейчас уже намного реже аваст детектит в VB6 exe-шниках вирусы ложно.
UA6527P

Mikle
Изобретатель велосипедов
Изобретатель велосипедов
Аватара пользователя
 
Сообщения: 3829
Зарегистрирован: 25.03.2003 (Вт) 14:02
Откуда: Туапсе

Re: Скомпилированные в VB6 EXE всё чаще принимаются за вирус

Сообщение Mikle » 16.06.2018 (Сб) 15:38

Там 5 срабатываний, в том числе DrWeb, что особо печалит.

Teranas
Продвинутый пользователь
Продвинутый пользователь
Аватара пользователя
 
Сообщения: 133
Зарегистрирован: 13.12.2008 (Сб) 4:26
Откуда: Новосибирск

Re: Скомпилированные в VB6 EXE всё чаще принимаются за вирус

Сообщение Teranas » 02.07.2018 (Пн) 23:00

У меня раньше, под впечатлением от одной древней статьи Криса, была мысль создать обработчик exe, который через определённое количество вставлял бы пустые инструкции, но я на это забил, так как тогда с ложным срабатыванием антивирусов ещё не было таких проблем.
С уважением, Андрей.

jangle
Википедик
Википедик
Аватара пользователя
 
Сообщения: 2982
Зарегистрирован: 03.06.2005 (Пт) 12:02
Откуда: Москва

Re: Скомпилированные в VB6 EXE всё чаще принимаются за вирус

Сообщение jangle » 05.07.2018 (Чт) 22:53

Касперский стабильно детектил пустые экзешники с одной формой скомпилированные в P-CODE как вирус.
Все это следствие криворукости сотрудников антивирусных компаний.

Mikle
Изобретатель велосипедов
Изобретатель велосипедов
Аватара пользователя
 
Сообщения: 3829
Зарегистрирован: 25.03.2003 (Вт) 14:02
Откуда: Туапсе

Re: Скомпилированные в VB6 EXE всё чаще принимаются за вирус

Сообщение Mikle » 06.07.2018 (Пт) 8:23

jangle писал(а):Все это следствие криворукости сотрудников антивирусных компаний.

Боюсь, что это следствие борьбы с VB6, а в перспективе и вообще с Win32 кодом. Постепенно сертифицируют всё необходимое, а остальное будет детектироваться, как вирус.

jangle
Википедик
Википедик
Аватара пользователя
 
Сообщения: 2982
Зарегистрирован: 03.06.2005 (Пт) 12:02
Откуда: Москва

Re: Скомпилированные в VB6 EXE всё чаще принимаются за вирус

Сообщение jangle » 06.07.2018 (Пт) 16:23

Снес кашпера со всех устройств и живу с виндовым антивирусом.

Teranas
Продвинутый пользователь
Продвинутый пользователь
Аватара пользователя
 
Сообщения: 133
Зарегистрирован: 13.12.2008 (Сб) 4:26
Откуда: Новосибирск

Re: Скомпилированные в VB6 EXE всё чаще принимаются за вирус

Сообщение Teranas » 07.07.2018 (Сб) 20:48

Да в принципе проверка в реальном времени вообще не нужна, достаточно сканера, только лошары ушастые, не поставят программу на VB6, так как антивирус разорётся, и чем дальше, тем больше антивирусов ругаются на VB6.
Написал программу, без какой либо записи на диск и работы с файлами и то сработало 3 антивируса, правда, мало известных, все монстры проглотили нормально.
С уважением, Андрей.

Хакер
Телепат
Телепат
Аватара пользователя
 
Сообщения: 16116
Зарегистрирован: 13.11.2005 (Вс) 2:43
Откуда: Казахстан, Петропавловск

Re: Скомпилированные в VB6 EXE всё чаще принимаются за вирус

Сообщение Хакер » 08.07.2018 (Вс) 3:33

Mikle писал(а):Боюсь, что это следствие борьбы с VB6,

А какой смысл такой борьбы? Всякая борьба в конце должна принести какую-то выгоду — здесь же выгода в чём?
—We separate their smiling faces from the rest of their body, Captain.
—That's right! We decapitate them.

ger_kar
Продвинутый гуру
Продвинутый гуру
Аватара пользователя
 
Сообщения: 1893
Зарегистрирован: 19.05.2011 (Чт) 19:23
Откуда: Кыргызстан, Иссык-Куль, г. Каракол

Re: Скомпилированные в VB6 EXE всё чаще принимаются за вирус

Сообщение ger_kar » 08.07.2018 (Вс) 4:20

jangle писал(а):Снес кашпера со всех устройств и живу с виндовым антивирусом.
А у меня так и вообще никакого антивируса нет, даже виндошного, ибо в Windows XP его еще не было. И ничего нормально.
Бороться и искать, найти и перепрятать

Хакер
Телепат
Телепат
Аватара пользователя
 
Сообщения: 16116
Зарегистрирован: 13.11.2005 (Вс) 2:43
Откуда: Казахстан, Петропавловск

Re: Скомпилированные в VB6 EXE всё чаще принимаются за вирус

Сообщение Хакер » 08.07.2018 (Вс) 4:26

ger_kar писал(а):
jangle писал(а):Снес кашпера со всех устройств и живу с виндовым антивирусом.
А у меня так и вообще никакого антивируса нет, даже виндошного, ибо в Windows XP его еще не было. И ничего нормально.


Это не имеет никакого значение, ведь равняться надо на потребителей (наших программ), а не на себя и «коллег».
—We separate their smiling faces from the rest of their body, Captain.
—That's right! We decapitate them.

Mikle
Изобретатель велосипедов
Изобретатель велосипедов
Аватара пользователя
 
Сообщения: 3829
Зарегистрирован: 25.03.2003 (Вт) 14:02
Откуда: Туапсе

Re: Скомпилированные в VB6 EXE всё чаще принимаются за вирус

Сообщение Mikle » 08.07.2018 (Вс) 18:28

Хакер писал(а):А какой смысл такой борьбы? Всякая борьба в конце должна принести какую-то выгоду — здесь же выгода в чём?

По крайней мере поначалу явно пытались всех пересадить на .net, выгода в продвижении новой платформы. Чего стоит удаление из уже существующих версий DirectX части файлов, предназначенных для совмещения с VB6.

Хакер
Телепат
Телепат
Аватара пользователя
 
Сообщения: 16116
Зарегистрирован: 13.11.2005 (Вс) 2:43
Откуда: Казахстан, Петропавловск

Re: Скомпилированные в VB6 EXE всё чаще принимаются за вирус

Сообщение Хакер » 08.07.2018 (Вс) 21:46

Но это же не Лаборатория Касперского сделала, а тот, кто продвигает дотнет.
—We separate their smiling faces from the rest of their body, Captain.
—That's right! We decapitate them.

Mikle
Изобретатель велосипедов
Изобретатель велосипедов
Аватара пользователя
 
Сообщения: 3829
Зарегистрирован: 25.03.2003 (Вт) 14:02
Откуда: Туапсе

Re: Скомпилированные в VB6 EXE всё чаще принимаются за вирус

Сообщение Mikle » 08.07.2018 (Вс) 21:52

Естественно. Просто таким лабораториям нужно жить и зарабатывать в мире, где многое зависит от тех кто продвигает дотнет. Да и не Каспер в лидерах по преследованию VB6, из маститых тут в первую очередь nod32.

Williams
Гуру
Гуру
Аватара пользователя
 
Сообщения: 1280
Зарегистрирован: 06.05.2008 (Вт) 18:35
Откуда: System.Reflection.Williams (увидел себя в зеркале :))

Re: Скомпилированные в VB6 EXE всё чаще принимаются за вирус

Сообщение Williams » 16.08.2018 (Чт) 0:26

jangle писал(а):Касперский стабильно детектил пустые экзешники с одной формой скомпилированные в P-CODE как вирус.
Все это следствие криворукости сотрудников антивирусных компаний.


дебилы, вырезано

[Хакер] :: Мат запрещён правилами. Устное предупреждение.
И вы думаете, что вас оставят в живых после прочтения этого поста?

BV
Thinker
Thinker
Аватара пользователя
 
Сообщения: 3979
Зарегистрирован: 12.09.2004 (Вс) 0:55
Откуда: Молдавия, г. Кишинёв

Re: Скомпилированные в VB6 EXE всё чаще принимаются за вирус

Сообщение BV » 05.10.2018 (Пт) 15:47

Не хочется снова это писать, но ребята.. зачем насиловать труп? VB6 мёртв, и уже давно. Печально, да, но любишь -- отпусти!
Я бы рекомендовал любителям WYSIWYG обратить внимание на RAD Studio 10.x. Дельфи или плюсы, это уже пусть каждый решает сам для себя. Я выбрал плюсы. Там достаточно современный фронтэнд в лице clang, а конструктор форм по удобству, как минимум, не уступает старому доброму VB-шному. Один минус, всё это дело стоит денег. Но кого это останавливало на просторах СНГ? :)
char *out = "|*0>78-,+<|"; size_t cc = char_traits<char>::length(out);
for (size_t i=0;i<cc;i++){cout<<static_cast<char>((out[i]^89));}cout<<endl;

Хакер
Телепат
Телепат
Аватара пользователя
 
Сообщения: 16116
Зарегистрирован: 13.11.2005 (Вс) 2:43
Откуда: Казахстан, Петропавловск

Re: Скомпилированные в VB6 EXE всё чаще принимаются за вирус

Сообщение Хакер » 05.10.2018 (Пт) 20:42

BV писал(а):VB6 мёртв, и уже давно. Печально, да, но любишь -- отпусти!

VB6 мёртв только в головах тех, кто вбил себе мысль, что он мёртв.

Формально, пока жив PE-формат и WinAPI работают в новых ОС, нет смысла считать хороший (особенно для своей сферы) инструмент мёртвым. То, что какая-то антивирусная контора творит произвол, это не проблема инструмента. Понятно, что огромный пласт разработчиков не желает больше возвращаться к VB6, но у большинства причины скорее идеологические, нежели технические — боязнь показаться непрогрессивным/ретроградом (что в отрасли с быстрым пргрессом чуть ли не повод для предания анафеме), сложности с объяснением/обоснованием, почему для решения задачи нужно применять инструмент, который больше не поддерживается разработчиком и, о ужас, признан им устаревшим.

Но если ты знаешь реальную цену инструменту, знаешь и о позорных местах и о сильных сторонах инструмента, и понимаешь, что в данной ситуации этот инструмент будет удобнее других — не вижу смысла отказывать себе.

Я не смотрел RAD Studio, но уверен, что ему не доплюнуть до VB6 в ряде вопросов, и причина здесь не в том, что разработчики там не дотягивают до тех, что создали VB6 или что продукт недоработан.

Причина в уникальной концепции, заложенной в VB6. Я не говорю, что это уникально хорошая концепция — я имею в виду то, что я не видел больше нигде чего-то подобного. В других IDE, как ни крути, IDE являешься лишь побочной примочкой к компилятору. Здесь же IDE сама является компилятором, часть этапов, составляющих компиляцию, происходит непосредственно в момент ввода кода, остальная же часть делается по JIT-принципу и с минимальными телодвижениями между перезапусками.

В 98-ом году такая архитектура давала то, что эквивалентный проект на С/С++ компилировался и линковался 30 секунд, а проект на VB6 запускался почти мгновенно. Помимо этого, за 20 лет по-моему не появилось ничего, где был бы настолько же мощный Immediate Pane и настолько гибкая возможность запаузить проект, попереписывать кучу кода, и продолжить его выполнение. И дело не в том, что у других RAD-ов разработчики слабые, а в том, что сама концепция языка, технологии компиляции/сборки очень удачна (и видимо заранее была такой избрана в угоду RAD-ности).

Кроме того, какой другой язык или среда имеет такую степень родства и встроенной поддержки COM и OLE Automation? Где ещё объекты априори являются COM-объектами, где ещё можно так же легко запрограммировать объект/класс, которые может быть создан и использован из кучи сред (например из vbs-скрипта или js-скрипта, причём с удалённой машины), или создать расширение проводника/IE, автокада, или какой-нибудь плагин/хендлер для Windows?

Создать объект (контрол), который может быть встроен на HTML-страницу в IE, или наоборот, в своё приложение встроить IE-контрол и из приложения рулить объектной моделью страницы, взаимодействовать с JS-скриптами? Это можно и на чистом Си всё сделать, но где ещё это можно сделать настолько легко и быстро, как в VB6?

Создать проект типа ActiveX EXE, создать в нём класс, который делает Implements некоторого чужого заранее оговоренного интерфейса, понапихать в реализации членов этого интерфейса ключевое слово Stop, запустить проект на отладку (не компилируя в EXE/DLL!), дождаться и поймать момент, когда чужой хост создаст экземпляр нашего класса и дёрнет метод интерфейса, и только в этот момент начать писать настоящую реализацию вызванного метода. Какой ещё RAD позволяет использовать такую механику работы? Т.е. не так, что сначала мы пишем метод, а потом его вызывают, а сначала метод вызывают, а потом мы его пишем.

Я много раз использовал такой сценарий работы, когда надо написать нечто, что будет взаимодействовать со сторонним приложением (путём отдачи ему объекта, реализующего нужный интерфейс) — когда начинаешь работать с чем-то ранее незнакомым, зачастую не знаешь, какие методы интерфейса «обратной связи» в каких обстоятельствах будут вызваны/сгенерированы, и какие аргументы будут переданы. И подход «поймай момент и попробуй поиграться с реализацией» помогает очень быстро встать на рельсы взаимодействия с новым неизвестным сторонним приложением/средой/системой.
—We separate their smiling faces from the rest of their body, Captain.
—That's right! We decapitate them.

Mikle
Изобретатель велосипедов
Изобретатель велосипедов
Аватара пользователя
 
Сообщения: 3829
Зарегистрирован: 25.03.2003 (Вт) 14:02
Откуда: Туапсе

Re: Скомпилированные в VB6 EXE всё чаще принимаются за вирус

Сообщение Mikle » 05.10.2018 (Пт) 23:11

BV писал(а):Не хочется снова это писать, но ребята.. зачем насиловать труп? VB6 мёртв, и уже давно. Печально, да, но любишь -- отпусти!

Если бы был мёртв, зачем бы его так старательно убивали? Я бы задавал вопрос по-другому: "зачем пациента отправляют в морг, ведь он не умер, даже не болен, а просто стар".

ger_kar
Продвинутый гуру
Продвинутый гуру
Аватара пользователя
 
Сообщения: 1893
Зарегистрирован: 19.05.2011 (Чт) 19:23
Откуда: Кыргызстан, Иссык-Куль, г. Каракол

Re: Скомпилированные в VB6 EXE всё чаще принимаются за вирус

Сообщение ger_kar » 06.10.2018 (Сб) 18:15

Mikle писал(а):Если бы был мёртв, зачем бы его так старательно убивали? Я бы задавал вопрос по-другому: "зачем пациента отправляют в морг, ведь он не умер, даже не болен, а просто стар".
Шикарно сказал!!!
Бороться и искать, найти и перепрятать

iGrok
Артефакт VBStreets
Артефакт VBStreets
 
Сообщения: 4256
Зарегистрирован: 10.05.2007 (Чт) 16:11
Откуда: Сетевое сознание

Re: Скомпилированные в VB6 EXE всё чаще принимаются за вирус

Сообщение iGrok » 08.10.2018 (Пн) 1:12

Mikle писал(а):Я бы задавал вопрос по-другому: "зачем пациента отправляют в морг, ведь он не умер, даже не болен, а просто стар".

Да никто его никуда не отправляет.

Просто из-за компиляции в P-Code не работает ряд стандартных эвристик антивирусов, рассчитанных на работу с реальным кодом. И вместо того, чтобы разбирать yet another VM, сам факт использования этого компилятора (без учёта используется вм или нет) включают в эвристику и сходу дают ему достаточно высокий балл, а дальше достаточно любого минимально подозрительного действия и привет.

По той же причине сходу цепляют generic-детект файлы, защищённые чем-нибудь типа VMProt, Themida и иже с ними.

CIL/JVM - тоже VM, но они гораздо активнее используются, и аверам приходится их поддерживать и учиться с ними работать.

Аналогичные проблемы имеет сейчас Delphi 7, например. Пустой проект на нём хватает детекты половины списка вирустотала с чем-нибудь типа heur:suspicious, или heur:generic. Аналогично - старые версии MSVC. И мноооогое другое.
Можно сказать, все редкоиспользуемые компиляторы в группе риска.

Для коммерческих проектов это решается элементарно - получаем code signing сертификат, подписываем им файлы, все детекты как рукой.

Для некоммерческих сложнее. Комодо предлагает что-то за 100$/год, но надо смотреть что там за корневой центр и доверяют ли ему целевые ОС.
label:
cli
jmp label

Teranas
Продвинутый пользователь
Продвинутый пользователь
Аватара пользователя
 
Сообщения: 133
Зарегистрирован: 13.12.2008 (Сб) 4:26
Откуда: Новосибирск

Re: Скомпилированные в VB6 EXE всё чаще принимаются за вирус

Сообщение Teranas » 08.10.2018 (Пн) 20:22

Написал прогу, проверил VirusTotal, всё чисто,
пожал UPX, проверил, так все дружно разорались, что это самый страшный вирус в мире...
Вот так вот.
С уважением, Андрей.


Вернуться в Народный треп

Кто сейчас на конференции

Сейчас этот форум просматривают: Yandex-бот и гости: 9

    TopList  
cron