Unlauteres Verhalten von Antivirenprogrammen.

Forum zum Thema Modding, um dort über "Neue Einheiten", Neue Objekte", "Modding Tools" usw zu diskutieren.
Antworten
zarathustra
Hauptgefreiter
Hauptgefreiter
Beiträge: 107
Registriert: 06.01.2015, 22:00
Wohnort: Moskau, Russland
Kontaktdaten:

Unlauteres Verhalten von Antivirenprogrammen.

Beitrag von zarathustra » 13.08.2019, 18:51

Während der Vorbereitung (Tests) unserer neuen Dienste traten Beschwerden über das Vorhandensein von Bedrohungen (Infektionen) einiger unserer Software auf - ich war sehr überrascht.
Ein wenig recherchiert. Ich werde Sie nicht mit den Details quälen, wir werden direkt zum Problem gehen:
Wie sich herausstellte, haben sich die Entwickler von Antivirenprogrammen in letzter Zeit nicht mit detaillierten Nachforschungen, Verhaltensanalysen oder verschiedenen Heuristiken beschäftigt, aber sie haben viel einfacher gehandelt: Jede Datei mit Packer/Protector/Cryptor-Arbeitsspuren wird automatisch als Virenträger deklariert. :shock:

Überprüfen Sie es ist sehr einfach!
Sie können absolut JEDES Programm nehmen und es überprüfen (stellen Sie sicher, dass es keine fremden "Anhänge" enthält. Packen Sie es. Überprüfen Sie dann erneut - die Datei wird "infiziert"!
Das Traurigste ist, dass die Entwickler von Antivirensoftware aktiv zusammenarbeiten und Datenbanken austauschen. Wenn Sie dieselbe gepackte Datei nach einiger Zeit (z. B. nach einer Woche) erneut überprüfen, werden Sie überrascht sein, dass die darin enthaltenen Anzeichen einer „Infektion“ nicht mehr von 2-5 Antivirenprogrammen erkannt werden, sondern bereits von 10-20! Und das trotz der Tatsache, dass sich die Datei nicht geändert hat!
Dann wird es sehr traurig: Laut verschiedenen indirekten Anzeichen wird eine "entpackte" Version Ihres Programms auch als "infiziert" deklariert!

Sie können sich am Beispiel des klassischen Packers überzeugen.
https://upx.github.io

Packen Sie ein beliebiges Programm mit und überprüfen Sie die Verpackung vor und nach.
Persönlich habe ich auf diese Weise viele verschiedene Packer getestet - sie alle führen zu einem ähnlichen Ergebnis (unterscheiden sich nur in der Liste und der Anzahl der erkannten imaginären Bedrohungen).
Aus Gründen der Fairness sollte beachtet werden, dass sich Kaspersky VirusDesk und Dr.Web durch das am besten geeignete Verhalten auszeichnen (betrachten Sie es nicht als Werbung).

Es kann scheinen, dass dies Kleinigkeiten sind. Dem ist aber nicht so - das Problem ist sehr ernst! Sie können nicht jedem erklären, dass "kein Kamel". Außerdem gibt, wie ich oben schrieb, selbst eine Ablehnung von Packern keine Garantie mehr, wenn Sie in den Datenbanken "beleuchtet" sind.

Es gibt noch keine Lösung. :(
Bitte beachten Sie dies für alle, die auf die eine oder andere Weise an Mods arbeiten.
Bild


Antworten

Zurück zu „Alles zum Thema Modding“