Вот уже не первый раз замечаю, что на упакованный в UPX файл - есть детект типа Win32:Malware-gen
Причём я упаковываю свои собственные программы, где 100% нет никакого вредного функционала.
На распакованный файл - детекта нет.
Стоит сделать «upx --best --ultra-brute» - и всё, детект.
Можете объяснить почему так? Мне это представляется абсурдным.
UPX оригинальный, антивирус должен бы во-первых понять что это оригинальный UPX (по наличию оригинального распаковщика), во-вторых распаковать секции и не найти там ничего плохого (как он не находит в распакованном файле).
Не может ли быть так, что двоичный код (или его часть) результирующего файла похожа на тело или сигнатуру вируса? Попробуйте упаковать с другими параметрами.
Может и так. Допускаю что многие вирусы тоже были упакованы в UPX.
Но, это во-первых очень уж часто бывает, во-вторых - антивирус в принципе обязан детектить упакованный файл и искать сигнатуры после его распаковки (особенно если в файле не модифицированный распаковщик).
Пробовал. compress-exports и strip-relocs не влияют никак. Уровни сжатия - влияют непредсказуемо (иногда детект пропадает, иногда нет).
Они конкретные программы включают в белый список в ближайшем обновлении и всё. Но проблема то системная у Аваста. И я вот не вижу разумного объяснения такому явлению.