PBOSL - Eine OpenSource Library-Sammlung für PureBasic

[ts-soft]

> Überempfindliche Virenscanner sind genauso schlecht, wie welche die fast alles ignorieren.
Ein Alarm zu viel ist mir lieber als ein Alarm zu wenig .

Du erhälst ja auch keine E-Mails wegen dieser Fehlalarme obwohl, das hält sich in Grenzen

[Falko]

Was ich aber lustig finde ist folgendes. Compiliert man mit eingeschalteten Debugger die Stest.pb zur Exe, meldet sich der Virenscanner. Macht man den Debugger aus, geht alles ohne Virenwarnung. Diese Datei kann ich auch in einer Zip packen und da passiert nichts. Das Ausführen des Programms mittels Parameter /install funst auch und in der Registry wird der Dienst eingetragen. Genauso wie das /remove es wieder entfernt. Sogar da reagiert der Virenscanner nicht.

Jetzt bleibt aber noch eine Frage offen, was das mit dem Debugger zu tun hat und warum dann die Datei als infiziert erkannt wird?


@ts-soft, hast du mit Debugger compiliert und die gepackt? Und wenn dein Virenscanner darauf reagiert hatte, zuvor den ausgeschaltet?
Dann ist die Frage, warum der Debugger der Auslöser ist. bzw. damit compilierte Datei anders macht , als wenn man die ohne Debugger compiliert.

MfG Falko

[freedimension]

Dann ist die Frage, warum der Debugger der Auslöser ist. bzw. damit compilierte Datei anders macht , als wenn man die ohne Debugger compiliert.

Ein Programm mit eingeschaltetem Debugger zu kompilieren ergibt immer ein anderes Ergebnis, du siehst es nur nicht.

[Falko]

Genau das meinte ich ja. Wenn ich z.B. den Virenscanner ausschalte, dann mit eingeschalteten Debugger compiliere und die Datei in die pbosl packe, dann erkennt der Virenscanner nach auspacken dieser zip den obigen trojaner.

Aber, wenn ich den Debugger aus habe, kann ich trotz eingeschalteten Virenscanner compilieren und diese Stest.exe in pbosl zippen. Diese wird dann nicht als Trojaner gemeldet, wenn man sie entpacken will.

Das ist nur ein Hinweis, das man besser den Debugger beim Endprodukt
auslässt um nicht von unvorhergesehenen Meldungen erschreckt zu werden .

Für die Zukunft weiss ich jetzt, dieses in meinen Programmen zu umgehen.
Das wollte ich eigendlich damit nur sagen.

@ts-soft, schon mal probiert? Damit könntest du die Stest.exe desinfiziert ins PBoslExample.zip einfügen

[ts-soft]

Ich hab die exe gelöscht, bei mir wird zwar kein Falschalarm ausgelöst, aber es soll sich doch jeder selber die Exe erstellen und ich hab meine Ruhe!

[ts-soft]

PBOSL_PurePDF Update auf Version 2.02, mehrere Bugfixes, auch in den zugehörigen PDF Libs.

[Falko]

Dann ist die Frage, warum der Debugger der Auslöser ist. bzw. damit compilierte Datei anders macht , als wenn man die ohne Debugger compiliert.

Ein Programm mit eingeschaltetem Debugger zu kompilieren ergibt immer ein anderes Ergebnis, du siehst es nur nicht.

Stimmt, man bekommt dabei keine Meldung durch den Virenscanner während der Compilierung.
Jetzt habe ich mir doch glatt einen neuen Virenscanner gekauft, Namens Kaspersky, der in den Tests sehr gut sein soll.
Wie man es schon kennt, nach Installation und Virenaktualisierung der
berühmte scan.
Und siehe da, die stest.exe, die ich ohne Debugger compiliert hatte,
wurde auch davon angemeckert. Vierenbeschreibung, siehe hier.

http://www.viruslist.com/de/search?VN=B ... .LiteBot.f

Da macht man sich Gedanken, woher dieser Backdoor-Virus kommt.
Im Quelltext ist es dem nach unmöglich.
Aber was macht der Compiler, von dem man nicht genau weiß, ob
er im Hintergrund eine ungewollte Signatur erzeugt, die dann wohl genauso aussehen sollte wie dieser Backdoor-Virus und als gefährlich eingestuft wird?
Kann sein, daß das ein Zufall ist, aber der Compiler ist eben auch nur ein
Programm.

Ich habe jetzt den Source Stest.exe als auch dessen Archiv gelöscht
und vertraue lieber mehr auf Kaspersky.

Vielleicht sollte Fred den Compiler mit dem Beispiel mal testen, falls er den Source hat. Ich habe ihn jetzt nicht mehr.


MfG Falko

[ts-soft]

Wenn Du die Exe gelöscht hast, und den Source selber kompilierst, dann trauste Kaspersky. Das kann nicht wahr sein
Bei bestimmter Befehlsanordnung wird der PBCompiler autom. Viren erzeugen, oder wie

>> Da macht man sich Gedanken, woher dieser Backdoor-Virus kommt.
Der existiert nicht, über nicht existentes braucht man nicht Nachdenken, höchstens die Einstellungen im Virenscanner anpassen.
Bei Echtzeit-VirusScannern sollte Heuristische Suche überflüssig sein! Da werden Viren sowieso anhand der Virentätigkeit erkannt, wenn diese versuchen eine Aktion auszuführen. Die heuristische Suche funktioniert bisher in keinem Virenscanner perfekt, auch wenn du den besten hast, auch im allerbesten ist das noch nicht möglich

[Falko]

Ich würde so ein Programm erst gar nicht verkaufen wollen, welches
Auslöser für Virenmeldungen sein könnte, wenn nur eine Virensignatur
darin erkannt wird. Dann kämpfste mehr mit den Anfragen der User herum
und willst auch noch sagen das alles in Ordnung ist.

Klar, wenn sie tätig werden ist es sinnvoll. Aber gab es nicht sowas wie Trägerprogramme, welche durch ein zweites Programm erst den Virus in Aktion bringen, und das noch beim Windowsabsturz über irgedwelche Windowsfunktionen? Dann brauchste keinen Virenscanner, da es schon zu spät ist.
Beispiele wie GIF und PDF, wo man doch immer gesagt hatte, eine GIF könnte keinen Virus ausführen. Das konnten die nicht. Aber eine Trojanersignatur einschleusen konnten sie schon. Dann ein stinknormales Free-Programm, welches irgendwann das Windows abstürzen lässt und während derzeit, dann diesen Virus extrahiert und ausführt ist dann schon möglich gewesen, oder?

[Edit] auf der PC-Welt DVD 1_2006 gibt es jetzt eine Vollversion Kaspersky Antivirus 5 gratis, mit einem halben Jahr Virensuport.
Hab' sie heute bekommen [/Edit]

[ts-soft]

Vergeß aber nicht die DVD vorher zu Scannen, Autorun sollte aber deaktiviert sein, sonst ist es evtl. beim Einlegen schon zu Spät (Viren lassen sich auch über die "Autorun.inf" installieren). Am besten Internet abklemmen, CD- und DVD-Laufwerke ausbauen. Biste auf der sicheren Seite. Ich schreib Dir dann mal nen Brief