Что нового

AuoIt и антивирусы

AZJIO

Меценат
Меценат
Сообщения
2,874
Репутация
1,194
asdf8
по этим сигнатурным базам
Это скорее небольшая халтурка. Чтобы выявлять вирус в AutoIt3 авторы антивируса должны в совершенстве знать язык и способы обработки таких файлов. На много проще объявить их всех вирусами не по коду, а по сигнатуре AutoIt3 в EXE-файле, потому что для большинства людей программы на AutoIt3 это редкость. Так что типа раз вы умные кодеры то разберётесь как добавить свои файлы для себя в исключение.

Кстати я обновляюсь раз в месяц и по месячной давности базы у меня не блокируют AutoIt3-программы. Как я сказал выше - блокирует операцию компиляции через AutoIt3Wrapper (только последнюю его версию) и то не всегда.
 
Автор
C2H5OH

C2H5OH

AutoIT Гуру
Сообщения
1,473
Репутация
333
Я только когда по почте попытался переслать exe-шник, который конвертирует файлы, то антивирус отработал. Из ТЗИ приходили, спрашивали что это я по почте вредоносное ПО рассылаю... Я объяснил им что это предупрежденее, скорее всего вызванное тем, что антивирус среагировал на то, что программа что-то на диск пишет. Вобщем отмазался.
А так регулярные сканирования файлов на диске никаких проблем не вызывают, антивирусы никак не реагируют на мои откомпилированные скрипты.

WSWR,
статейка какая-то того...
AutoIt легко изучить и на нём легко программировать, поэтому на нём всё активнее пишут вирусы.
И что? AutoIt значит плохой что ли?
 

asdf8

Скриптер
Сообщения
564
Репутация
152
AZJIO [?]
проще объявить их всех вирусами не по коду, а по сигнатуре AutoIt3 в EXE-файле

Мне кажется, что на такое способны только самые отмороженные антивирусописатели из стран типа Гондураса - можно дорого поплатиться, потому, как ядро AutoIt вирусом не является.
 

WSWR

AutoIT Гуру
Сообщения
941
Репутация
363
C2H5OH
Там всего лишь информация о том, что такие вирусы стали встречаться чаще.

У меня антивирус довольно часто ругается на скомпилированные скрипты, и, думаю, дело в этой самой упаковке.
 

sims

Осваивающий
Сообщения
184
Репутация
24
Причина почему антивирусы ругаются на безобидные скрипты (exe) в том, что занесен их в базу интерпретатор AutoIt как потенциально опасное ПО.
С компилируемыми ЯП в этм отношении по проще, потому что содержимое исполняемого файла сильно меняется в зависимости от кода.
 

asdf8

Скриптер
Сообщения
564
Репутация
152
sims [?]
Причина почему антивирусы ругаются на безобидные скрипты (exe) в том, что занесен их в базу интерпретатор AutoIt как потенциально опасное ПО.

Можно поинтересоваться у каких антивирусов интерпретатор AutoIt занесен в базу?
У DrWeb точно не занесен.

С компилируемыми ЯП в этм отношении по проще

Сигнатуру для нового файла знаете как генерируют - берут файл и ищут в нем сочетание байт (иногда из разных мест файла), которое не встречается в имеющейся базе сигнатур, которая составлена из раннее встречавшихся файлов, включая и не вирусы.
Так вот, например в отношении РВ, достаточно чтобы в вирусе использовалась какая нибудь встроенная библиотека и сигнатура попала в РЕ-файле на место, куда встроилась эта библиотека, чтобы потом все остальные программы с использованием этой библиотеки тоже считались вирусами.
 

sims

Осваивающий
Сообщения
184
Репутация
24
asdf8 [?]
достаточно чтобы в вирусе использовалась какая нибудь встроенная библиотека и сигнатура попала в РЕ-файле на место, куда встроилась эта библиотека, чтобы потом все остальные программы с использованием этой библиотеки тоже считались вирусами.
Должно сильно "повезти" чтобы такое случилось, а если предположить что произойдет, то достаточно поменять местами пару строк в коде и антивирус перестанет орать.

Но если подобное случится с интерпретатором, то придется его переписывать. :whistle: :shok:
 

AZJIO

Меценат
Меценат
Сообщения
2,874
Репутация
1,194
asdf8 [?]
Мне кажется, что на такое способны только самые отмороженные антивирусописатели из стран типа Гондураса
Я сделал вывод на основе вашего сообщения: [?]
почти все мои скомпилированные скрипты у меня на компе, стали вирусами (по этим сигнатурным базам).
Сложно определить вирус если используются те же функции AutoIt3. Я не понимаю как они ищут и не хочу вдаваться. Может они декомпилируют и анализируют исходник, а может ловят команды. Если скрипт копирует сам себя в системную папку на это реагировал антивирусник, значит он анализируется ещё до выполнения.
 

asdf8

Скриптер
Сообщения
564
Репутация
152
AZJIO [?]
Я сделал вывод на основе вашего сообщения

Ключевое слово почти все, т.е. не все, определение идет точно не по наличию интерпретатора AutoIt.


Может они декомпилируют и анализируют исходник, а может ловят команды.

Вряд-ли ловят команды - решение выносится до запуска проги.
Может и декомпилируют, только это может дать результат для скриптов состоящих из нескольких строк, для более-менее большого кода из-за особенностей синтаксиса AutoIt не то, что программа, но и человек не всегда сразу разберется - вредоносный это код или нет.
 
Верх