George Yves, приму во внимание ваш совет. но мой ник никого не оскорбляет и в нем нет мата. провентилируйте если что википедию на предмет описания 2го слова в нике.
afix, по теме есть чо? опять спрашиваю. нет? - прошу вас удалиться и не мешать ;D
Stdlib, да, конечно будет интересен результат. по поводу вопросов: трудно тут что-то им советовать исправить, учитывая саму суть детекта evo gen: просто хочется сказать “Не страдайте ерундой”, направьте усилия на разработку нормального эвристика (которого у них считай нет) или уберите вообще evo gen.
и стоит им “напомнить” про то, что результат их меготехнологий будущего - это детект 90% написанного софта вне зависимости от языка написания, будь то программист, пишуший на Си, на бейсике и прочем.
У меня АВАСТ в основном “обнаруживает” Evo-gen[susp] в моих программах (Delphi 7), пожатых с помощью UPX. Около пары десятков таких уже наберётся… Что ещё тут неприятно: в списке предлагаемых действий экрана защиты отсутствует игнорирование, можно лишь переместить в карантин, удалить, блокировать или лечить (либо то же самое автоматически).
Stdlib, с чего был сделан вывод о том, что файл признается подозрительным по PE-заголовку? Вы сами это придумали и вводите в заблуждение других пользователей. Прежде чем делать такие громкие заключения надо разобраться в механизмах работы технологии Evo-Gen.
Да, возможно технология нуждается в доработке, т.к. часто происходят ложные срабатывания, но это не умиляет достоинства данной технологии.
Подробнее о данной технологии можно почитать здесь: http://blog.avast.com/2012/12/03/new-toy-research-lab/ (к сожалению, статья на английском).
Если происходит блокировка всех созданных Вами программ, то необходимо обратиться в техническую поддержку аваст и сообщить о возникшей проблеме, ложные срабатывания обычно исправляются быстро. Достаточно сообщить, что ложное срабатывание происходит с любой созданной программой на masm’е и прикрепить одну из таких программ.
Спасибо, что не проигнорировали мою просьбу. На счёт же Вики и т.п. я Вам скажу так: оригинальность хороша вмеру, не стоит эпатировать публику, даже если Вы просто цитируете Библию или Коммунистический манифест.
опытным путем установлено. установлено то, что 80% - это детект по параметрам секций (оффсет\размер\имя\характ-ки) и простоналичие записей в DATA DIRECTORY. отмечу, что именно просто наличие. какое там число - не важно. это крутая метода
далее: вот наш отдел техподдержки установил давно на некоторые машины аваст. мы - отдел разработчиков пишем, поддерживаем софт по учету товара, бухгалтерские программки и прочее. постоянно, приходя на работу, я пишу что-то новое, более удобное, учитываю просьбы наших пользователей… и вот как замечательно получается - я в очередной раз компилирую проект. тестируем его, всё ок. даю техподдержке - ребята, обновите там и там софт. они обновляют, и тут мегатехнология аваста говорит, что 2я секция .rdata = 3000h! это подозрительно, и автоматом удаляет.
т.е. что получается? при каждом компилировании проекта, я должен брать ВСЕ EXE, DLL, LIB, слать авасту. они там минимум день будут думать (что сомнительно в данной ситуации) добавят в новые базы исключение. мы ждем обновление баз, софт свой не обновляем.
потом опять - собираю проект, уже 3я секция станет подозрительная - цикл действий заново. думаю суть понятна.
так вот. мягко говоря, уважаемые, логику в вашей новой технологии ясно, что нет. но зачем вы сделали такой, простите, геморрой пользователям, разработчикам софта, нам лично? я и техподдержка не хочет ходить целый день к ста машинам и в каждой настраивать исключения и карантин. вы представляете обойти 100 и более машин?
думать надо что ли прежде, чем выпускать ужасы такие.
Вы делаете типичную ошибку: здесь форум общественной поддержки и подавляющее большинство его участников и не сотрудники AVAST Software, а обычные пользователи продуктов компании. Мы не разработчики и не техподдержка, мы не разрабатываем и не выпускаем программу, мы пытаемся делиться своим опытом работы и так помогать решать проблемы с использованием антивируса и других программ. Если сообщество на форуме не в состоянии оказать помощь, то мы всегда рекомендуем обращаться непосредственно к авторам и создателям Аваста. Ваши претензии, выраженные в процитированном фрагменте надо отправлять им с помощью стандартной формы обращения или заводите тикеты в техподдержке.
I will obey forum rules, в качестве исключения из-за масштабности проблемы я обратился к разработчикам антивируса. От Вас потребуется некоторая техническая информация, поэтому будьте готовы предоставить всю необходимую информацию. Сообщите пожалуйста, в какой среде Вы пишите программы?
Я пишу в связке - Code::Blocks и Gcc. Плюс, иногда Visual Studio, для некоторых проектов - Digital Mars. Ассемблер - MASM и FASM.
Пару минут назад звонили с работы - в карантине сидят файлы от программ Министерства Финансов - АС УРМ и Смета. Программы без этих файлов не работают, бухгалтерия в панике. Прошу пристально обратить на это внимание. Проблема уже приобрела действительно огромный масштаб. Ладно я то, могу разобраться, но видели бы вы иных админов госучреждений… У них вот точно зарплату за ноябрь не получат.
Вот последняя реакция на эту проблему от разработчиков (Honza Zíka): http://forum.avast.com/index.php?topic=140561.msg1027512#msg1027512
В общем, при больших напрягах есть резон отредактировать ini-файл АВАСТа: добавить там строчку “DisableEvogen=1” в секцию “[Scanner]”.
Насколько я понимаю, инишка Avast5.ini находится тут:
Win7, Vista - C:\ProgramData\AVAST Software\Avast\avast5.ini
WinXP - C:\Documents and Settings\All Users\Application Data\AVAST Software\Avast\avast5.ini или C:\Documents and Settings\All Users\Application Data\Alwil Software\Avast5\avast5.ini
На время редактирования надо отключить функцию самозащиты АВАСТа:
Интерфейс - Настройки - Устранение неисправностей - Включить модуль самозащиты avast! (снять галочку, потом не забыть её поставить обратно)
Хотелось бы высказать слова в поддержку автора- stdlib в той части, которая касается дела.
Являюсь разработчиком программ на Delphi. За 10 лет практики не сталкивался с подобной проблемой. Разрабатывал программу втечении года. На днях откомпилировал проект и обнаружил, что якобы моя программа содержит EVO-GEN. В программе сотни функций и десятки модулей, включая родные Delphi, обнаружить участок кода, делающий ложное срабатывание практически невозможно. Должно быть у проблемы массовый характер. Хотелось бы узнать кто отвечает за то, что моя программа причислена к потенциально не желательным?
По поводу ника stdlib - похоже на название библиотеки функций языка Си. Очень прискорбно слышать, что недостаток образования называется матом.
По поводу ника stdlib - похоже на название библиотеки функций языка Си. Очень прискорбно слышать, что недостаток образования называется матом.
К нику пользователя stdlib ни у кого претензий не было и нет. Претензии были к нику другого пользователя, который тоже оставил сообщения в этой теме, но этот пользователь свой ник уже сменил. Пожалуйста, внимательнее следите за ходом обсуждения.
Чисто экспериментально. Когда у меня есть время, я занимаюсь анализом зараженных файлов самостоятельно. Так как Evo-Gen стал появляться каждый день, пришлось пристальнее обратить внимание на эту проблему. Получалось одно из двух - либо у нас в организации эпидемия, либо это все ложные срабатывания. У каждого файла, определявшегося как Evo-Gen я заменял ресурсы, импорт, данные и код, и проверял на Evo-Gen.
После чего, заполнял файл случайными значениями, после чего заполнял файл нулями, оставляя в секции кода только одну инструкцию - retn. При всех этих манипуляциях файл определялся как Evo-Gen (причем, понятное дело, файл поврежден и запуститься уже не может). Также пересаживал PE-заголовок от файла, который определялся как Evo-Gen в другие файлы, если точка входа указывала не на нулевое значение, файл тоже начинал определяться как Evo-Gen. Из всего этого можно сделать вывод, что Evo-Gen работает по заголовку (может и не только, но мне такие файлы не встречались).
Чтобы не быть голословным, могу привести пример файла, состоящего из одной секции - секции кода, содержащего одну инструкцию retn и определяющегося как Evo-Gen (если это, конечно, кого-нибудь интересует).
А по поводу техподдержки - да, я обращался, но приходится делать обновления, писать новые модули, причем довольно часто. На новых модулях тоже появляется Evo-Gen. Не могу же я каждый день спамить в техподдержку. Тут надо не с симптомами бороться, а с самой проблемой в корне.
За ссылку спасибо, посмотрел. Но ничего нового в этом нет. Подобные технологии у других антивирусов реализованы давно - так ищутся сигнатуры для полиморфных вирусов.
Вчера обновился до версии 132811-1. А сегодня обнаружил, что много файлов определяются как Evo-Gen. Например движок инсталяции от DevExpress Inc. (www.devexpress.com). Особенно неприятно, что когда появляется диалог, с возможностью игнорировать файл, то кнопка игнорировать не работает. В общем сделал единственный воркараунд: отключил файловый монитор.
Я тут Вашу программу чуть модифицировал (надеюсь она не была защищена авторским правом :). К сожалению, она перестала запускаться, но вредоносный функционал остался http://www.sendspace.com/file/3pw8yp
Раз уж пошла такая пьянка. А мне не привыкать пакостить ради общего дела: отправьте эти злые и неприемлимые фолсы в VB, av-comparatives, av-test и т.д. Пусть провалят тесты авастовцы, чтоб неладно было так программистам жизнь портить
А то честно говоря: не дело в реестр лезть и отключать “передовую” технологию. Тут действительно не работает принцип “перебздеть, чтобы недобздеть”. Тут надо наказать: и как уже подсказал. Думаю, быстро отрезвеют фолсовые дятлы аваста и их быстро уволят.
ну что Вы! это фриваре
вот это я понимаю пердовая технология. просто детектит “огрызок” файла - РЕ заголовок ;D
уж простите за флуд - но это действительно цирк.
За 3 года пользования avast скажу так - отличная помощь к “прямым рукам”(не сочтите за грубость ТС).
У самого дома стоит связка-free avast(только файловый монитор) и firewall comodо,причем последний работает без gui, т.е. настраиваю, а за тем убираю из автозагрузки cfp.exe для экономии, пашет только cmdagent-все легко и надежно.
Насчет delphi-сам пользуюсь изредка hiasm(бесплатный конструктор)и компилятором delphi, так вот аваст детектирует evo-gen только в проектах с прямым доступам к клавиатуре либо диску, на другие молчит-решил просто-папку с проектами и готовым софтом поставил в исключение-да не очень хорошо для безопасности, но если антивирус подстраховывает меня(а не я его), почему бы и нет.
Насчет бухгалтерских программ-на работе тоже на всех машинах аваст(offline update- это супер) и программы для работы с банком(пр.Клиент-Банк), Radius, программы работающие с базами данных Oracle, Firebird, есть программы Smeta,Zarplata-и все работает.Единственное-при первом запуске программы для ЭЦП спросил что делать-добавил в исключение.Почему у Вас ТС так-может программы работают с дополнительными редкими библиотеками на которые он и срабатывает, так и поставьте их в исключение.
Да, детект у аваста конечно немного параноидальный, но мне например файловый монитор аваста нравится больше, чем например у антивируса от comodo-размер баз(для меня очень актуально) и опять таки легкость.
И вообще-ставил другим людям, так вот один друг год назад позвал, у него стоял платный антивирус(не буду называть) и лицензия-скачал игрушку(с вшитым трояном) не ведомо откуда, которая платник завалила, и чего-то там куда-то отсылала,а вот на ресурсы с антивирусами заходить не давала.Аваст таки установил, и сканирование на автозагрузке убрала трояна(мелочи типа файла hosts-ручками,или avz), но гарантировать что он меня снова не позовет не стану, и дело не в авасте-друг качает все что “нипопадя”(ликбез я ему прочитал,но толку…) и шастает в сети куда попало.
Мой пост не ода себе или авасту - операционная система конечно у всех одна и та же(и имя её WINDOWS*), но вот то чем она напичкана(пр. антивирус) и как настроена будет сильно их отличать, соответственно и подходы где-то будут другими.Пробуйте, ищите, если форум не сталкивался с подобным.
Форум не занимается разработкой-это коллективное собрание таких же юзеров, среди которых есть продвинутые, которые и пишут в разработчикам коллективное мнение,но все исключительно на добровольных началах, зарплату они за это не получают.
