Полиморф

[zumm]

Доброго всем! Мне вот интересует вопрос, не уж то лишний мусор в коде может его спасти от антивируса? Разве антивири не ищут определенный код, который считается вредоносным? Ибо когда и пишу прожки с использованием заезженых компонентов типа icq клиента или там фтп то антивири говорят что это вирусы, трояны и т.п... хотя это не так... то есть они ищут, получается, определенные ключевые кодосочетания...

[Gambler]

если отловить только отдельные функции (например запись в файл или работу с реестром), то антивирусы будут кричать на все подряд. Так что ищутся "кодосочетания". А пустые процедуры сдвигают байты и антивирусы их не палят. Работает довольно стабильно.

[Alter]

Последовательность действий в коде определяется, на это реагирует проактивная защита и некоторая сигнатурная часть.
Выход:
• Разбить на процедур, функции
• Вставлять в код пустые циклы, большой размерности, эмулятор устанет ждать
• Псевдо условия выполнения, условия всегда выполняемые. Например проверка If fileexists(ParamStr(0)) then {ваш код};

ну и т.д

[docbrain]

Цитата:

Ибо когда и пишу прожки с использованием заезженых компонентов типа icq клиента или там фтп то антивири говорят что это вирусы, трояны и тп...хотя это не так...

Ох, знакомая ситуация. Стоит мне попытаться использовать какой-либо сетевой компонент Delphi, как авер тут же возбухает. Такое впечатление, будто все сетевые компоненты уже заранее под прицелом.

[zumm]

Цитата:

Вставлять в код пустые циклы, большой размерности, эмулятор устанет ждать

Эм, а разве антивири еще и эмулируют прогу при проверке? O_o Не слишком ли это накладно?

[Пепел Феникса]

docbrain, в основном ИнДи, но вообще просто надо смотреть что делаешь, ибо если ты качаешь файл и потом его запускаешь, то точно чтото подозрительно
причем все это втихомолку, не показываясь.

Цитата:

Эм, а разве антивири еще и эмулируют прогу при проверке? O_o Не слишком ли это накладно?

я думаю там всетаки идет чтото типа перехвата АПИ(аля точки остановки в отладки)

[zumm]

Пепел Феникса, TICQClient - пример, собирал альтернативную аську "под себя", при реализации отправки авторизаций, антивирь считает что это спаммер, убираем эту функцию, и приложение сново не опасно...

И заметь что все это не скрыто, и даже не общается с реестром...

[Пепел Феникса]

причем тут реестр?
однако то там есть работа с инетом.

Цитата:

при реализации отправки авторизаций

авторизации массовые?
может быть причина в том что ктото писал спамер используя этот компонент?

[Alter]

Используя этот компонент некоторые редиски писали фейки и спам боты.

[zumm]

Цитата:

причем тут реестр?

Имелся ввиду автозапуск, так как программы там по идее проверяются в первую очередь.

Цитата:

авторизации массовые?

Нет, одиночная. И даже упоминание в коде процедуры отправки вызывает гнев антивиря...

Цитата:

может быть причина в том что ктото писал спамер используя этот компонент?

Так как это лучшимй компонет для юзания протокола ICQ, то можно предположить что добрая половина спамеров на этом сделана...