Форум поддержки пользователей. LibreOffice, Apache OpenOffice, OpenOffice.org

Форум поддержки пользователей. LibreOffice, Apache OpenOffice, OpenOffice.org

28 Ноябрь 2020, 20:36 *
Добро пожаловать, Гость. Пожалуйста, войдите или зарегистрируйтесь.
Вам не пришло письмо с кодом активации?

Войти
Новости: Доступно и просто о работе в офисных пакетах
 
   Начало   Помощь Поиск Войти Регистрация    задать вопрос  
Страниц: « 1 2 3 4   Вниз
  Печать  
Автор Тема: Отключить сообщения LO  (Прочитано 2945 раз)
0 Пользователей и 1 Гость смотрят эту тему.
Kadet
Форумчанин
***
Offline Offline

Сообщений: 400


« Ответ #45: 27 Октябрь 2020, 22:00 »

Иснталятор и запускающий файлы сделал, однако попал на грабли, которые пророчил economist.
Подскажите, пожалуйста, почему простейший код из пары строк, запускающий программу, половина антивирей воспринимает как троян.
Прогоняю на virustotal исходник на vbs - чисто. Компилирую в exe с помощью vbs_to_exe. Прогоняю скомпелированный exe-шник - 25 антивирей ловят трояна.
Почему?

Примеры во вложении.

* Pica.zip (80.31 Кб - загружено 2 раз.)
Записан
economist
Форумчанин
***
Offline Offline

Сообщений: 1 314


« Ответ #46: 28 Октябрь 2020, 08:48 »

Kadet - потому что это бизнес. Аналогия: Мадам Скворцова с ТВ говорит что тесты ПЦР на Covid-19:

40% - ложноположительны
15% - ложнооотрицательны

Т.е. из 10 сдавших за 1,3-1,6 тыс. руб. тест ПЦР - 5,5 человек будут обмануты, из них 4 впадут в депрессию и карантин, потеряют ползарплаты, а 1,5 (~2) чел - пойдут заражать здоровых на работе (и зарязят). Счастлива за них всех - только лаборатория.

С комп. антивирусами - ещё хуже. Здесь ложноположительный тест, как у вас, ничего не стоит просто придумать и большое число алармов - это синоним качества антивируса (ваш Нод не нашел, а мой Клам нашел десять(!) вирусов). Даже великая 1С попадала и не раз на "ложняки".

В этой борьбе "бабла со злом"  - не победить. Отказывайтесь от VBS/PS/BAT/CMD.

Более того, exe-архив (созданный 7-zip или Rar) - тоже шифруйте, иначе антивирь найдет и там якобы зловреднывй код и остановит распаковку и/или выполнение (в некоторых тяжелых случаях домена - навсегда).      
« Последнее редактирование: 28 Октябрь 2020, 08:50 от economist » Записан

Руб. за сто, что Питоньяк
Любит водку и коньяк!
Потому что мне, без оных, -
Не понять его никак...
Kadet
Форумчанин
***
Offline Offline

Сообщений: 400


« Ответ #47: 28 Октябрь 2020, 09:28 »

economist спасибо за пояснения.
Значит этого зверя "его бизьнесем кличут"...
Давеча нашёл исследования одного "вирусолога", который предлагал закодировать код программы на ассемблере. Грит, что "кидает" сей "бизьнес".
Сходу не разобрался. Попробую разобраться в нём. Может чёт и выковыряю полезное.
Записан
economist
Форумчанин
***
Offline Offline

Сообщений: 1 314


« Ответ #48: 28 Октябрь 2020, 11:12 »

Просто соберите SFX-архив (*.exe) с паролем 123456 - и антивирус его не сможет распаковать (при скачивании). Кроме того, можно вообще избавиться от VBS-скриптов, если всё и вся настроить в portable LO заранее, включая расширения, зарегенные БД и JavaPortable, если она нужна. Юзеры любопытны и у них будет подгорать оттого что что-то не работает из-за "отсутствия".   

Если же используется инсталлятор типа InnoSetup - в нем есть свои "скрипты" для базовых копирований, чтений/записи веток реестра итд. Антивири и злобный UAC смотрят на такие дочерние процессы не так пристально, как на голый VBS. В exe - VBS лучше вообще не упаковывать, т.к. это самый популярный кейс начинающих вирусописателей (и лучший способ маркетолухам сделать их антивирус самым реузльтативным). 

Считается что VBS "прятать" во что-то иное - просто некрасиво ~:-)   
Записан

Руб. за сто, что Питоньяк
Любит водку и коньяк!
Потому что мне, без оных, -
Не понять его никак...
Kadet
Форумчанин
***
Offline Offline

Сообщений: 400


« Ответ #49: 30 Октябрь 2020, 13:23 »

Просто соберите SFX-архив
Не нравится мне идея с sfx. Как-то что-то не то в ней.

Народ, помогите, пожалуйста, страждущему. Нашёл небольшой код в инете. Хочу проверить. В общем кодирует программу по ключу, а потом раскодирует. Говорят помогает от антивирусов.
Написан он на с++. А я последний раз писал на нём лет 25 назад. А теперь не могу даже установить и настроить компилятор. Библиотеку "windows.h" подключить не могу. В общем сплошные засады. Даже проверить не могу.

В общем, помогите скомпилировать эти варианты программок в exe.

* main1.txt (1.32 Кб - загружено 2 раз.)
* main2.txt (0.89 Кб - загружено 2 раз.)
« Последнее редактирование: 30 Октябрь 2020, 13:26 от Kadet » Записан
Bigor
Мастер
*****
Offline Offline

Пол: Мужской
Сообщений: 1 017


« Ответ #50: 30 Октябрь 2020, 13:55 »

Давным давно, когда носителями данных и программа были дискеты, юзал прогу сжимающую exe, и  при этом эти файлы можно было запускать. думаю в сжатом виде антивирусники не возбудятся. А вот после распаковки проги в памяти не уверен.
Записан

Поддержать разработчиков LibreOffice можно можно тут, а наш форум вот тут
economist
Форумчанин
***
Offline Offline

Сообщений: 1 314


« Ответ #51: 30 Октябрь 2020, 14:51 »

Не нравится мне идея с sfx.
Можно просто в 7-zip (*.7z) В формат zip - не советую, злые одмины читают хабр, вместе с антивирусами они "боятся" формата zip, т.к. в нем и правда несколько уязвимостей. Скорее всего 1/4 получателей zip-архивы скачать не удастся. 
 
Записан

Руб. за сто, что Питоньяк
Любит водку и коньяк!
Потому что мне, без оных, -
Не понять его никак...
Kadet
Форумчанин
***
Offline Offline

Сообщений: 400


« Ответ #52: 30 Октябрь 2020, 17:07 »

Сжатие немного улучшило обстановку. Однако жалко, что антивири Microsoft и Yandex мои проги за троян принимают. А Касперский, кстати, нет.
Но тот же Microsoft на всех 10-х сейчас по умолчанию ставится и чтобы его отключить нужно пройти целый геморрой.
А он мои проги по умолчанию в карантин бросает, сволочь такая.
Записан
Kadet
Форумчанин
***
Offline Offline

Сообщений: 400


« Ответ #53: 30 Октябрь 2020, 17:11 »

Можно просто в 7-zip (*.7z)
Ну, как-то мне кажется не совсем удобно. Ладно прога, которая install делает, там понятно. Запустил, она сама распаковалась, установилась и... В общем для неё упаковка-распаковка допустима.
Но самое главное вторая прога, которая просто запускает файл odb с параметрами, она же постоянно работающая. Там всего одна строка - запустить LO с параметрами и открыть в этой оболочке odb. И как-то постоянная распаковка при каждом запуске программы... мне кажется неудобной.
« Последнее редактирование: 30 Октябрь 2020, 17:22 от Kadet » Записан
Kadet
Форумчанин
***
Offline Offline

Сообщений: 400


« Ответ #54: 30 Октябрь 2020, 22:34 »

Немного подразобрался в проблеме.
Оказывается, главная проблема не в самом скрипте, а в переводчике из vbs to exe. Он, сволочь такая, при компиляции добавляет кусок кода от себя и вот на это и ругаются антивири с таким пояснением:
Цитата:
Описание: обнаруживает специальную строку загрузчика в Exe - generic rule - соответствует многим типам вредоносных программ и некоторым FPs
RULE_AUTHOR: Florian Roth
Судя по всему этой бесплатной утилитой пользуются все кому не лень, в том числе и создатели вредоносов. А она, утилита, всегда какую-то абракадабру перед кодом вписывает. Никак от неё не избавиться.

Попробовал скомпилировать другой утилитой, так результат на порядок лучше.

Так же попробовал предложенный sfx вариант. В принципе, вообще почти "чисто" по антивирям. Немного подразберусь в вариантах и может таки и приму sfx как рабочий вариант.
« Последнее редактирование: 30 Октябрь 2020, 22:37 от Kadet » Записан
economist
Форумчанин
***
Offline Offline

Сообщений: 1 314


« Ответ #55: 2 Ноябрь 2020, 08:05 »

Еще можно сообщить в переписке авторам антивирусов о ложноположительном сообщении. Может повезти.

А еще можно сделать так, как сделали IT-гиганты - просить юзера отключить на время установки антивирус :-)
Записан

Руб. за сто, что Питоньяк
Любит водку и коньяк!
Потому что мне, без оных, -
Не понять его никак...
Страниц: « 1 2 3 4   Вверх
  Печать  
 
Перейти в:  

Powered by MySQL Powered by PHP Powered by SMF 1.1.21 | SMF © 2006-2009, Simple Machines Valid XHTML 1.0! Valid CSS!