Форум программистов
 
Контакты: о проблемах с регистрацией, почтой и по другим вопросам пишите сюда - alarforum@yandex.ru, проверяйте папку спам! Обязательно пройдите активизацию e-mail.

Вернуться   Форум программистов > Операционные системы > Софт
Регистрация

Восстановить пароль
Повторная активизация e-mail


Донат для форума - использовать для поднятия настроения себе и модераторам

А ещё здесь можно купить рекламу за 25 тыс руб в месяц! ) пишите сюда - alarforum@yandex.ru

Ответ
 
Опции темы
Старый 24.09.2009, 21:51   #1
W0LF
Участник клуба
 
Аватар для W0LF
 
Регистрация: 28.03.2008
Адрес: UA
Сообщений: 940
Репутация: 353

icq: 941593
skype: feralfrost
Злость Вирусы в программах

По причине вирусописателей, все больше программ становяться подозрительными, а сходство функций программы с вирем или троянцем потерпают от антивирусов или во все удаляються по причине "ложного инфицирования".

Написал маленькую программу, что бы узнавать букву диска на котором храниться программа и сохранение ее в файл в папке винды:
Код:
program Project1;

uses
  Forms,
  Unit1 in 'Unit1.pas' {Form1};

{$R *.res}

begin
  Application.Initialize;
  Application.ShowMainForm:=false;
  Application.CreateForm(TForm1, Form1);
  Application.Run;
end.
Код:
function WindowsDir: string;
var
res:Cardinal;
WinDirP:PChar;
begin
  WinDirP := StrAlloc(MAX_PATH);
  Res := GetWindowsDirectory(WinDirP, MAX_PATH);
  if Res > 0 then
    result := StrPas(WinDirP);
end;

procedure TForm1.FormCreate(Sender: TObject);
var
f:TStringList;
FlashDrive:string;
begin
  FlashDrive:=ExtractFileDir(ParamStr(0));
  Delete(FlashDrive,2,Length(FlashDrive));
  f:=TStringList.Create;
  f.Text:=FlashDrive;
  f.SaveToFile(WindowsDir+'\con001.dll');
  f.Free;
end;
Больше нечего программа неимеет и невыполняет... НО! Проверка на "вирустотал"е показала вот что:
  • McAfee-GW-Editio: Heuristic.BehavesLike.Win32.Trojan. I
  • Ikarus: Trojan-Downloader.Win32.Banload
  • a-squared: Trojan-Downloader.Win32.Banload!IK

Как такое понимать? Вирусописатели уже достали, руки бы им повыкручивать... В скором времени, я считаю, уже смена caption'a формы будет считаться за червя, а сохранение файла за злобного трояна бэкдор'а.

По этому придлагаю, всех пользователей которые будут задавать вопросы и на ваше мнение приведет к новой "пакосной" программе, БАНИТЬ, а сообщения просто игнорировать.
зы: а можно и в бубен дать ножкой

Вообщем, надо с этим чото делать!
W0LF вне форума   Ответить с цитированием
Старый 24.09.2009, 21:54   #2
Alex Cones
Trust no one.
Профессионал
 
Аватар для Alex Cones
 
Регистрация: 07.04.2009
Адрес: In the middle of nowhere.
Сообщений: 6,526
Репутация: 1440
По умолчанию

Код:
 f.SaveToFile(WindowsDir+'\con001.dll');
И как вы объясните законопослушным пользователем этот факт? В директорию винды, в святая святых, программа лезть не должна!
__________________
SQUARY PROJECT - НАБОР БЕСПЛАТНЫХ ПРОГРАММ ДЛЯ РАБОЧЕГО СТОЛА.
МОЙ БЛОГ
GRAY FUR FRAMEWORK - УДОБНАЯ И БЫСТРАЯ РАЗРАБОТКА WINAPI ПРИЛОЖЕНИЙ
Alex Cones вне форума   Ответить с цитированием
Старый 24.09.2009, 22:07   #3
W0LF
Участник клуба
 
Аватар для W0LF
 
Регистрация: 28.03.2008
Адрес: UA
Сообщений: 940
Репутация: 353

icq: 941593
skype: feralfrost
По умолчанию

ну это ж ведь не так серйозно, что бы трояном назвать, тем более Trojan-Downloader'ом

у меня в "святая святых" перевалочный пункт данных с одной проги в другую, так как одна из них находиться на носителе, и создать файл там нет возможности
W0LF вне форума   Ответить с цитированием
Старый 24.09.2009, 22:18   #4
Alex Cones
Trust no one.
Профессионал
 
Аватар для Alex Cones
 
Регистрация: 07.04.2009
Адрес: In the middle of nowhere.
Сообщений: 6,526
Репутация: 1440
По умолчанию

Значит делаем "перевалочный пункт" в другом месте. Например в корне диска.
__________________
SQUARY PROJECT - НАБОР БЕСПЛАТНЫХ ПРОГРАММ ДЛЯ РАБОЧЕГО СТОЛА.
МОЙ БЛОГ
GRAY FUR FRAMEWORK - УДОБНАЯ И БЫСТРАЯ РАЗРАБОТКА WINAPI ПРИЛОЖЕНИЙ
Alex Cones вне форума   Ответить с цитированием
Старый 24.09.2009, 22:19   #5
Вавел из ГМТУ
Участник клуба
 
Регистрация: 19.06.2009
Сообщений: 898
Репутация: 254
По умолчанию

W0LF

Отправь на ВирусТотал пустой проект и ты очень удивишься....
Вавел из ГМТУ вне форума   Ответить с цитированием
Старый 24.09.2009, 22:21   #6
Arigato
СуперПрограммист
СуперМодератор
 
Аватар для Arigato
 
Регистрация: 27.07.2008
Адрес: Россия РФ Регистрация: 27.07.2008
Сообщений: 13,846
Репутация: 3619
По умолчанию

Создавайте файлы не в папке Windows.
__________________
E-Mail: arigato.freelance@gmail.com
Arigato вне форума   Ответить с цитированием
Старый 24.09.2009, 22:24   #7
W0LF
Участник клуба
 
Аватар для W0LF
 
Регистрация: 28.03.2008
Адрес: UA
Сообщений: 940
Репутация: 353

icq: 941593
skype: feralfrost
По умолчанию

странно ... xD
W0LF вне форума   Ответить с цитированием
Старый 24.09.2009, 22:38   #8
s.Creator
Форумчанин
 
Регистрация: 28.09.2008
Сообщений: 344
Репутация: 187
По умолчанию

Скорее всего ругаются на занесение в системную папку .dll, вытаскиваемую из ресурсов программы, да еще не имеющую правильного заголовка и экспортируемых функций.
Может заменить '\con001.dll' на .txt .dat или что то подобное?
s.Creator вне форума   Ответить с цитированием
Старый 25.09.2009, 08:16   #9
Utkin
Профессионал
 
Аватар для Utkin
 
Регистрация: 04.02.2009
Адрес: DuckBurg
Сообщений: 18,305
Репутация: 3917
По умолчанию

Не, здесь дело в антивирусах. Вместо того чтобы изобретать какие-то хитроумные алгоритмы защиты - тупо запретить запись ДЛЛок в папку винды. Формально это не преступление. И вообще лично мне не нравится когда мне кто-то запрещает копаться в моем же компьютере. Расстреливать таких надо. Вирусописатели здесь не причем. Ну да используют подобный алгоритм, но он собственно разрушений не производит, значит вирусы нужно ловить по другим критериям и всего делов.
__________________
Маньяк-самоучка
Utkin появился в результате деления на нуль.
Осторожно! Альтернативная логика
Utkin вне форума   Ответить с цитированием
Старый 25.09.2009, 11:13   #10
s.Creator
Форумчанин
 
Регистрация: 28.09.2008
Сообщений: 344
Репутация: 187
По умолчанию

Код:
  Application.ShowMainForm:=false;
//..............
f.SaveToFile(WindowsDir+'\con001.dll');
Если бы мне с нета прислали программу, которая на экран не показывается и записывает какие то dll в системные папки, я бы ее и без антивирусов в зловредные определил .
Цитата:
И вообще лично мне не нравится когда мне кто-то запрещает копаться в моем же компьютере.
Что то не заметил, что бы программа спрашивала о чем-то пользователя перед копанием на том компе где ее запустят.
Или Вам нравится когда вместо Вас на вашем компьютере копаются вирусы?

Недавно писал сервис с самоустановкой.
Запускаешь exe - спрашивает - установить сервис? если да, копирует себя в sistem32, устанавливает как сервис и запускает его.
При втором запуске ( если сервис уже установлен ) удаляет его из системы.
И никакой антивирь не ругается.
s.Creator вне форума   Ответить с цитированием
Ответ

Опции темы

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход

Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
Вирусы? unicode Безопасность, Шифрование 13 02.10.2009 17:57
Не та кодировка русских символов в программах Linux Alex Cones Linux (Ubuntu, Debian, Red Hat, CentOS, Mint) 11 18.09.2009 21:44
Как реализовать рабочий стол Windows в своих программах? GreenStar Общие вопросы Delphi 4 27.08.2009 22:35
Использование функция языка Си в программах на С++ Blade Общие вопросы C/C++ 1 17.05.2009 10:35


02:18.


Powered by vBulletin® Version 3.8.11
Copyright ©2000 - 2019, Jelsoft Enterprises Ltd.