Отключить сообщения LO

Автор Kadet, 3 октября 2020, 18:30

0 Пользователи и 1 гость просматривают эту тему.

Kadet

Иснталятор и запускающий файлы сделал, однако попал на грабли, которые пророчил economist.
Подскажите, пожалуйста, почему простейший код из пары строк, запускающий программу, половина антивирей воспринимает как троян.
Прогоняю на virustotal исходник на vbs - чисто. Компилирую в exe с помощью vbs_to_exe. Прогоняю скомпелированный exe-шник - 25 антивирей ловят трояна.
Почему?

Примеры во вложении.

economist

#46
Kadet - потому что это бизнес. Аналогия: Мадам Скворцова с ТВ говорит что тесты ПЦР на Covid-19:

40% - ложноположительны
15% - ложнооотрицательны

Т.е. из 10 сдавших за 1,3-1,6 тыс. руб. тест ПЦР - 5,5 человек будут обмануты, из них 4 впадут в депрессию и карантин, потеряют ползарплаты, а 1,5 (~2) чел - пойдут заражать здоровых на работе (и зарязят). Счастлива за них всех - только лаборатория.

С комп. антивирусами - ещё хуже. Здесь ложноположительный тест, как у вас, ничего не стоит просто придумать и большое число алармов - это синоним качества антивируса (ваш Нод не нашел, а мой Клам нашел десять(!) вирусов). Даже великая 1С попадала и не раз на "ложняки".

В этой борьбе "бабла со злом"  - не победить. Отказывайтесь от VBS/PS/BAT/CMD.

Более того, exe-архив (созданный 7-zip или Rar) - тоже шифруйте, иначе антивирь найдет и там якобы зловреднывй код и остановит распаковку и/или выполнение (в некоторых тяжелых случаях домена - навсегда).      
Руб. за сто, что Питоньяк
Любит водку и коньяк!
Потому что мне, без оных, -
Не понять его никак...

Kadet

economist спасибо за пояснения.
Значит этого зверя "его бизьнесем кличут"...
Давеча нашёл исследования одного "вирусолога", который предлагал закодировать код программы на ассемблере. Грит, что "кидает" сей "бизьнес".
Сходу не разобрался. Попробую разобраться в нём. Может чёт и выковыряю полезное.

economist

Просто соберите SFX-архив (*.exe) с паролем 123456 - и антивирус его не сможет распаковать (при скачивании). Кроме того, можно вообще избавиться от VBS-скриптов, если всё и вся настроить в portable LO заранее, включая расширения, зарегенные БД и JavaPortable, если она нужна. Юзеры любопытны и у них будет подгорать оттого что что-то не работает из-за "отсутствия".   

Если же используется инсталлятор типа InnoSetup - в нем есть свои "скрипты" для базовых копирований, чтений/записи веток реестра итд. Антивири и злобный UAC смотрят на такие дочерние процессы не так пристально, как на голый VBS. В exe - VBS лучше вообще не упаковывать, т.к. это самый популярный кейс начинающих вирусописателей (и лучший способ маркетолухам сделать их антивирус самым реузльтативным). 

Считается что VBS "прятать" во что-то иное - просто некрасиво ~:-)   
Руб. за сто, что Питоньяк
Любит водку и коньяк!
Потому что мне, без оных, -
Не понять его никак...

Kadet

#49
Цитата: economist от 28 октября 2020, 11:12Просто соберите SFX-архив
Не нравится мне идея с sfx. Как-то что-то не то в ней.

Народ, помогите, пожалуйста, страждущему. Нашёл небольшой код в инете. Хочу проверить. В общем кодирует программу по ключу, а потом раскодирует. Говорят помогает от антивирусов.
Написан он на с++. А я последний раз писал на нём лет 25 назад. А теперь не могу даже установить и настроить компилятор. Библиотеку "windows.h" подключить не могу. В общем сплошные засады. Даже проверить не могу.

В общем, помогите скомпилировать эти варианты программок в exe.

bigor

Давным давно, когда носителями данных и программа были дискеты, юзал прогу сжимающую exe, и  при этом эти файлы можно было запускать. думаю в сжатом виде антивирусники не возбудятся. А вот после распаковки проги в памяти не уверен.
Поддержать разработчиков LibreOffice можно можно тут, а наш форум вот тут

economist

Цитата: Kadet от 30 октября 2020, 13:23Не нравится мне идея с sfx.
Можно просто в 7-zip (*.7z) В формат zip - не советую, злые одмины читают хабр, вместе с антивирусами они "боятся" формата zip, т.к. в нем и правда несколько уязвимостей. Скорее всего 1/4 получателей zip-архивы скачать не удастся. 
Руб. за сто, что Питоньяк
Любит водку и коньяк!
Потому что мне, без оных, -
Не понять его никак...

Kadet

Сжатие немного улучшило обстановку. Однако жалко, что антивири Microsoft и Yandex мои проги за троян принимают. А Касперский, кстати, нет.
Но тот же Microsoft на всех 10-х сейчас по умолчанию ставится и чтобы его отключить нужно пройти целый геморрой.
А он мои проги по умолчанию в карантин бросает, сволочь такая.

Kadet

#53
Цитата: economist от 30 октября 2020, 14:51Можно просто в 7-zip (*.7z)
Ну, как-то мне кажется не совсем удобно. Ладно прога, которая install делает, там понятно. Запустил, она сама распаковалась, установилась и... В общем для неё упаковка-распаковка допустима.
Но самое главное вторая прога, которая просто запускает файл odb с параметрами, она же постоянно работающая. Там всего одна строка - запустить LO с параметрами и открыть в этой оболочке odb. И как-то постоянная распаковка при каждом запуске программы... мне кажется неудобной.

Kadet

#54
Немного подразобрался в проблеме.
Оказывается, главная проблема не в самом скрипте, а в переводчике из vbs to exe. Он, сволочь такая, при компиляции добавляет кусок кода от себя и вот на это и ругаются антивири с таким пояснением:
ЦитироватьОписание: обнаруживает специальную строку загрузчика в Exe - generic rule - соответствует многим типам вредоносных программ и некоторым FPs
RULE_AUTHOR: Florian Roth
Судя по всему этой бесплатной утилитой пользуются все кому не лень, в том числе и создатели вредоносов. А она, утилита, всегда какую-то абракадабру перед кодом вписывает. Никак от неё не избавиться.

Попробовал скомпилировать другой утилитой, так результат на порядок лучше.

Так же попробовал предложенный sfx вариант. В принципе, вообще почти "чисто" по антивирям. Немного подразберусь в вариантах и может таки и приму sfx как рабочий вариант.

economist

Еще можно сообщить в переписке авторам антивирусов о ложноположительном сообщении. Может повезти.

А еще можно сделать так, как сделали IT-гиганты - просить юзера отключить на время установки антивирус :-)
Руб. за сто, что Питоньяк
Любит водку и коньяк!
Потому что мне, без оных, -
Не понять его никак...