f2065 Опубликовано 10 июня, 2017 Опубликовано 10 июня, 2017 Здравствуйте. У меня вопрос про проблемы с UPX. Вот пишу какую-нибудь программу (самостоятельно, без сторонних компонентов, и абсолютно уверен что в программе нет вредоносного функционала). Проверяю на VirusTotal - все антивирусы считают что всё хорошо. Запаковываю в UPX - и 5…30 (из 61) антивируса ругаются что это теперь вирус. Нередко и Касперский (а следом через день - и Яндекс), причём жалобы на ложный детект по факту игнорируются у Касперского (хотя у многих остальных антивирусов ложный детект исправляют за 1-2 дня). Почему так? Догадываюсь что где-то там получаются похожие куски сигнатур на какой-то вирус которых тоже был сжат в UPX. Однако ведь UPX - широкоизвестная программа, почему антивирус не может детектить UPX, распаковывать его и проверять реальный исполняемый код, а не сигнатуры сжатого UPX ? ZIP/RAR ведь антивирусы распаковывают. А если антивирус не умеет распаковывать UPX - то ведь злоумышленники могут за несколько перестановок/перепаковок кода найти комбинацию когда сигнатуры сжатого UPX детектится не будут… Если всё-же UPX анализируется и внутри - то зачем ложно детектить по сжатому? Сообщение от модератора Mark D. Pearlstone Тема перемещена из раздела "Задай вопрос Евгению Касперскому!"
Kapral Опубликовано 10 июня, 2017 Опубликовано 10 июня, 2017 Чисто спортивный интерес, что вам дает упаковка UPX
f2065 Опубликовано 10 июня, 2017 Автор Опубликовано 10 июня, 2017 Чисто спортивный интерес, что вам дает упаковка UPXУменьшение объёма в 3-4 раза. На большинстве сайтов например программы выкладывают упакованными в ZIP/RAR или даже в 7z - тоже ведь место экономят… Почему бы сразу исполняемый код не упаковать, если такая возможность есть? Меня интересует официальная позиция разработчиков антивируса. Если вот они прямо скажут что с UPX будут проблемы потому что им он не нравится - то я учту их мнение… А то какая-то непонятная и не логичная ситуация. Вдобавок жалобы на ложный детект игнорят. Не понятно, сколько ждать их вердикта. В отписке робота сказано что если результат изменится - то сообщат. Однако следовало бы сообщать о любом результате.
Kapral Опубликовано 10 июня, 2017 Опубликовано 10 июня, 2017 Уменьшение объёма в 3-4 раза. Скажите а это что дает? )))я буду скачивать не 5 сек а 4? ))) или на моих нескольких терабайтах сэкономится аж целых мегабайт 10 в ZIP/RAR или даже в 7z - тоже ведь место экономят… И вы упаковывайте в эти архиваторы Меня интересует официальная позиция разработчиков антивируса А вы попробуйте обратится к ним, в ТП, а не на форум пользователей В отписке робота сказано что если результат изменится - то сообщат. Однако следовало бы сообщать о любом результате. Как часто надо вас извещать о том что ничего не изменилось? 5 раз в час достаточно?
andrew75 Опубликовано 10 июня, 2017 Опубликовано 10 июня, 2017 Ностальгия по временам когда компьютеры были большими? Ну не любят антивирусы сжатые исполняемые файлы да еще и без цифровой подписи. Совершенно очевидная логика - сжимают, значит хотят что-то скрыть. Поскольку других резонов для сжатия сейчас нет. 1
thyrex Опубликовано 10 июня, 2017 Опубликовано 10 июня, 2017 А также покажите хотя бы один детект virustotal.com на Ваш упакованный файл
kmscom Опубликовано 10 июня, 2017 Опубликовано 10 июня, 2017 антивируса ругаются что это теперь вирус они может и ругаются, но не потому что вирус.покажите скриншот алерта
f2065 Опубликовано 10 июня, 2017 Автор Опубликовано 10 июня, 2017 в ZIP/RAR или даже в 7z - тоже ведь место экономят…И вы упаковывайте в эти архиваторы Я хочу знать какое-то разумное обоснование (или хотя бы официальное признание факта что по религиозным причинам UPX под запретом). А не тупо следовать за толпой. В отписке робота сказано что если результат изменится - то сообщат. Однако следовало бы сообщать о любом результате.Как часто надо вас извещать о том что ничего не изменилось? 5 раз в час достаточно? Из текста отписки робота можно предположить что если антивирусные специалисты(?) решат что там реально вирус - то ответа не будет. McAfee, Avast, Symantec, Baidu - на жалобу о ложном детекте реагируют за 1 день, и уже на следующий день проблемы нет. Причём, мелкие правки программы и повторная перекомпиляция/UPX - проблему не возвращает. Т.е. они вносят в белый список видимо не глобальную сигнатуру файла, а совокупность разных сигнатур корректируют. Касперский же спустя 4 дня - ничего не изменилось, по прежнему клевещет на сжатый файл. Возникает вопрос: то ли у него очередь на ложные детекты исчисляется неделями, то ли он не хочет признавать этот ложный детект. Почему я как автор программы не могу оспорить мнение этих якобы специалистов? Почему они не могут сказать что именно им не нравится в программе? А также покажите хотя бы один детект virustotal.com на Ваш упакованный файлНу вот сейчас скомпилировал, исходный файл: https://virustotal.com/ru/file/0a2fe7377457f3c4fe1f88d26cbe596f3dd163e88c0eca03e5a5671d5db4e900/analysis/ Проблем можно считать нет (3 малопопулярных антивируса чем-то недовольны, это не существенно) upx --best --ultra-brute UPS_LM.exe Ultimate Packer for eXecutables Copyright © 1996 - 2017 UPX 3.94w Markus Oberhumer, Laszlo Molnar & John Reiser May 12th 2017 File size Ratio Format Name -------------------- ------ ----------- ----------- 276480 -> 62464 22.59% win32/pe UPS_LM.exe Packed 1 file. Итог: https://virustotal.com/ru/file/05a7354d34b94583dc707496bee8baa885c62c6b7e043d2d0c16b6bebabdd141/analysis/ И тут сразу 16 антивирусов. А через 2-3 дня их станет больше, некоторые копируют базы. В предыдущей сборке (неделю назад) их число достигало 30 через 3 дня после первого анализа. они может и ругаются, но не потому что вирус. покажите скриншот алерта
Friend Опубликовано 10 июня, 2017 Опубликовано 10 июня, 2017 @f2065, для вас: http://whitelist.kaspersky.ru/whitelist-for-partners-ruи не будет ложного детекта от ЛК, если он конечно есть.
f2065 Опубликовано 10 июня, 2017 Автор Опубликовано 10 июня, 2017 @f2065, для вас: http://whitelist.kaspersky.ru/whitelist-for-partners-ruи не будет ложного детекта от ЛК, если он конечно есть. Там же юр.лицо надо… Т.е. много финансовых расходов. Ради небольшой кучки бесплатных утилит - это абсурд.
kmscom Опубликовано 10 июня, 2017 Опубликовано 10 июня, 2017 KIS_false.jpgданный фаил блокируется не только антивирусом
f2065 Опубликовано 10 июня, 2017 Автор Опубликовано 10 июня, 2017 данный фаил блокируется не только антивирусомЭто просто антивирус гугла. Передаёт в Chrome списки файлов которые ему не понравились. Это уже было на старой сборке полгода назад, я тоже разослал жалобы на ложный детект и через день Chrome стал файл скачивать. Более проблемный детект у микрософтовского антивируса, он блокирует даже не исполняемые файлы а вообще любые файлы на сайте, если был один файл который ему не понравился.
kmscom Опубликовано 10 июня, 2017 Опубликовано 10 июня, 2017 а если выложить не упакованный UPX, это как влияет ?
f2065 Опубликовано 10 июня, 2017 Автор Опубликовано 10 июня, 2017 а если выложить не упакованный UPX, это как влияет ?Если выложить не упакованный, то проблем с антивирусами вобщем нет (ну не считая какой-то непонятной проблемы с Windows Smart Screen).В принципе вот ( /soft/UPS_LM_v1207_deUPX.rar ), именно пакованный файл с сайта взял, команда upx -d - и касперский более не ругается - https://virustotal.com/ru/file/d9c618137bde5a83022f344e0301e36f88b234831e00ca70d3d8c7e01dcbc127/analysis/ Вопрос то не про отдельно взятый файл. Это системная проблема ряда антивирусов, и наводит на мысли об их бесполезности. Если они ложно детектят вирусы в общеизвестном UPX потому что его не понимают, то точно так же они могут и не увидеть реальных вирусов запакованных в UPX, если подобрать сигнатуры упаковки. Есть кстати и более простой пример абсурдности антивирусов, вообще без участия UPX. Вот исходные коды (в FASM) программы: format PE GUI 4.0 entry Empty86 include 'C:\FASM\INCLUDE\WIN32A.INC' section '.idata' import data readable writeable library kernel32,'KERNEL32.DLL' import kernel32,ExitProcess,'ExitProcess' section '.text' code readable executable Empty86: invoke ExitProcess, 0И вот что про эту программу (без UPX) пишет virustotal: https://virustotal.com/ru/file/a4e5b17e6e7c9ffdc3b0e1a5262c654b1fcd66db17062dbfc07ce21618935f99/analysis/Baidu: Win32.Trojan.WisdomEyes.16070401.9500.9872 Invincea: heuristic SentinelOne (Static ML): static engine - malicious Кажется кто-то сошёл с ума. Внедрять принципы whilelist может и надо, но что делать с софтом который имеет низкую популярность и разрабатывается обычными людьми? Если софт не приносит прибыли чтобы делать для него юридическое лицо?
kmscom Опубликовано 10 июня, 2017 Опубликовано 10 июня, 2017 Если выложить не упакованный, то проблем с антивирусами вобщем нет (ну не считая какой-то непонятной проблемы с Windows Smart Screen). выложите не упакованный фаил, для проверки.
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти