GVK Опубликовано 13 мая, 2013 Поделиться Опубликовано 13 мая, 2013 Столкнулся с забавным нюансом под Kaspersky CRYSTAL 2.0, на который перешел недавно (хотя это не важно, как я полагаю). Пишу программу установки, которая работает в два этапа с перезагрузкой системы (устанавливаются файлы программы - как с носителя, так и из интернета, пара сервисов, драйвера специфического устройства). С момента как я начал прописывать себя в «HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run» антивирус окрестил мою программу как «heur: trojan.win32.generic» и отправил на карантин. Оно, конечно, лестно, но что с этим делать? Инсталлятор-то не только для моей машины создается, так что путь добавления его в исключения не годится. Удалось локализовать срабатывание антивируса - в результате экспериментов выяснил, что почетный титул траяна получаю при наличии в коде сочетания получения «SeShutdownPrivilege» с записью в автозапуск реестра, причем вариант с «RunOnce» погоды не делает. Если выкинуть что-то одно, то антивирус доволен – правда, я не очень. Есть ли какие-нибудь разумные пути решения данной проблемы с сохранением собственной программы установки и использования вышеописанного алгоритма работы? Ссылка на комментарий Поделиться на другие сайты Поделиться
Денис-НН Опубликовано 13 мая, 2013 Поделиться Опубликовано 13 мая, 2013 На время написания и проверки программы отключайте антивирус, или хотя бы эвристический анализ в нём. После завершения работ, если ситуация не исправиться, отошлите ваш инсталлятор в вирлаб с пометкой "ложное срабатывание". Оптимально - отослать из личного кабинета https://my.kaspersky.com/ или хотя бы так http://support.kaspersky.ru/virlab/helpdesk.html Ссылка на комментарий Поделиться на другие сайты Поделиться
GVK Опубликовано 14 мая, 2013 Автор Поделиться Опубликовано 14 мая, 2013 (изменено) На время написания и проверки программы отключайте антивирус, или хотя бы эвристический анализ в нём.После завершения работ, если ситуация не исправиться, отошлите ваш инсталлятор в вирлаб с пометкой "ложное срабатывание". На время разработки я ее сразу по награждению добавил в исключения – тут проблем нет. Меня больше интересует принцип срабатывания – в том плане является ли это ошибкой в работе эвристического анализатора или все же нет? По идее программа, прописывающая себя в автозагрузку и перезагружающая компьютер, может являться вредоносной, спору нет, но, по-моему, это более чем недостаточное условие. Почитал кое-что по вашей наводке про отправку на вирлаб. В целом понятно – как решение сносно, хотя, боюсь, времени на обработку подобного запроса уйдет порядком. Единственно что, как я понял, при любой коррекции моего «троянского» инсталлятора мне придется повторять данную операцию? Идентификация-то моей программы явно будет идти по ее контрольной сумме или какому-то схожему принципу. Изменено 14 мая, 2013 пользователем GVK Ссылка на комментарий Поделиться на другие сайты Поделиться
Денис-НН Опубликовано 14 мая, 2013 Поделиться Опубликовано 14 мая, 2013 Время реакции вирлаба, при отправке запроса из личного кабинета, от пары часов до недели. Как будет проходить идентификация программы, точно не знаю. Как вариант - получите ЭЦП и подписывайте свой инсталлятор - к подписанным программам отношение более лояльное. Ссылка на комментарий Поделиться на другие сайты Поделиться
GVK Опубликовано 14 мая, 2013 Автор Поделиться Опубликовано 14 мая, 2013 Время реакции вирлаба, при отправке запроса из личного кабинета, от пары часов до недели. Думаю, так и поступлю - a там посмотрим, спасибо. Как вариант - получите ЭЦП и подписывайте свой инсталлятор - к подписанным программам отношение более лояльное. Что-то в этом есть, но это начинание будет однозначно похоронено начальством по причине не понимания вопроса и самого главного - "за это же платить надо". Ссылка на комментарий Поделиться на другие сайты Поделиться
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти