إخطار مضاد الفيروسات الخاطئة
|
إخطار مضاد الفيروسات الخاطئة
|
25-12-2022, 04:41 AM
مؤخرا قمت بتطوير مكتبة بروكسي d3d8.dll تقوم بتغييرات طفيفة لذاكرة لعبة. قمت بفحصها على VirusTotal ووجدت أن هناك 5 مضادات فيروسات بلغتها كبرنامج ضار. كنت قد أضفت ملفات خطوط TTF مخزنة في المكتبة في Resources. بعد إزالتها وفحصها من جديد أصبح مضاد Microsoft يبلغ عنها برنامج ضار.
ما تقوم مضادات الفيروسات بهذه التبليغات الخاطئة؟ إلى ماذا تنظر؟ 
25-12-2022, 07:21 AM
موقع virustotal يعمل مع شركات الحماية يعني اذا فحصت فيه اول شيء يرسلو ملفك لكل شركات الحماية ليصبح اكثر عرضة للتقارير الخاطئةهناك بعض المواقع تقدم خدمة الفحص بدون إرسال ملفك لشركات الحماية و هي غالبا مدفوعة عليك بالبحث و القراءة عن شروط استخدام قبل رفع ملفكهناك طرق سريعة لتضليل مضادات الفيروسات كضغط الملف او إستعمال برامج الحمايةو هناك طرق متقدمة كتغيير مكان نقطة الادخال، تغيير بعض التعليمات بعد نقطة الادخال، إستعمال خوارزميات لتشفير التعليمات المكشوفة
كما توجد طريقة أخرى للتعمق في الملف بتقسيمه للوصول للمكان المكشوف و التلاعب بالتعليمات رياضيا دون خرابه. اتمنى اكون افدتك ولو بالقليل ودي لك.
لَّا إِلَٰهَ إِلَّا أَنتَ سُبْحَانَكَ إِنِّي كُنتُ مِنَ الظَّالِمِينْ.
عن أبي هريرة -رضي الله عنه- أن رسول الله -صلى الله عليه وسلم- كانَ يقولُ في سجودِهِ: «اللَّهُمَّ اغْفِرْ لي ذَنْبِي كُلَّهُ: دِقَّهُ وَجِلَّهُ، وَأَوَّلَهُ وَآخِرَهُ، وَعَلاَنِيَتَهُ وَسِرَّهُ». (صحيح - رواه مسلم). (25-12-2022, 07:21 AM)M!X0R كتب : موقع virustotal يعمل مع شركات الحماية يعني اذا فحصت فيه اول شيء يرسلو ملفك لكل شركات الحماية ليصبح اكثر عرضة للتقارير الخاطئة لكن كيف يقدم فيروستوتال خدمة مجانية كهذه في مقابل الاسعار الباهظة التي تطلبها مضادات الفريوسات ! ؟ ويعني المشكلة في الغالب من الموقع ليس مضاد الفيروسات ؟ (25-12-2022, 07:21 AM)M!X0R كتب : هناك طرق سريعة لتضليل مضادات الفيروسات كضغط الملف او إستعمال برامج الحمايةو هناك طرق متقدمة كتغيير مكان نقطة الادخال، تغيير بعض التعليمات بعد نقطة الادخال، إستعمال خوارزميات لتشفير التعليمات المكشوفةبالفعل بعد ضغطه ب UPX اصبح فقط 3 مضادات تبلغ شكرا لك . ظننت العكس ! يعني بهذه الطرق لا يستطيع ان يتعرف مضاد الفيروسات على البرنامج بشكل جيد ليتوقع سلوكه يعني من المفترض ان يبلغ عنه لانه غير مالوف والفيروسات في العادة برامج غير مألوفة .
25-12-2022, 09:48 AM
(25-12-2022, 08:41 AM)SeGNMeNT كتب : لكن كيف يقدم فيروستوتال خدمة مجانية كهذه في مقابل الاسعار الباهظة التي تطلبها مضادات الفريوسات ! ؟ أعتقد أن شركات الحماية تدفع لفيرو س توتال مقابل مشاركة الملفات (25-12-2022, 08:41 AM)SeGNMeNT كتب : ويعني المشكلة في الغالب من الموقع ليس مضاد الفيروسات ؟ غالبا أثناء تنصيب أي حماية فيه خيار مشاركة الملفات المراد فحصها مع الشركة الأم باختصار المشكلة من الموقع و البرنامج المستعمل في الجهاز فكلاهما يدرس سلوك الملف كان فيه موقع https://nodistribute.com يفحص بعدة مضادات و لا يشارك الملف مع شركات الحماية لكنه تعطل عن العمل يمكنك البحث أكيد فيه موقع مثلو يقدم نفس الخدمات... (25-12-2022, 08:41 AM)SeGNMeNT كتب : يعني بهذه الطرق لا يستطيع ان يتعرف مضاد الفيروسات على البرنامج بشكل جيد ليتوقع سلوكه يعني من المفترض ان يبلغ عنه لانه غير مالوف والفيروسات في العادة برامج غير مألوفة . مهما كان سلوك الملف الفحص هو لي يجعله أكثر عرضة للحساسية...
لَّا إِلَٰهَ إِلَّا أَنتَ سُبْحَانَكَ إِنِّي كُنتُ مِنَ الظَّالِمِينْ.
عن أبي هريرة -رضي الله عنه- أن رسول الله -صلى الله عليه وسلم- كانَ يقولُ في سجودِهِ: «اللَّهُمَّ اغْفِرْ لي ذَنْبِي كُلَّهُ: دِقَّهُ وَجِلَّهُ، وَأَوَّلَهُ وَآخِرَهُ، وَعَلاَنِيَتَهُ وَسِرَّهُ». (صحيح - رواه مسلم). |
|
|
