Board.KolibriOS.org

Official KolibriOS board
It is currently Sun Jan 24, 2021 4:13 pm

All times are UTC+03:00




Post new topic  Reply to topic  [ 24 posts ]  Go to page 1 2 Next
Author Message
PostPosted: Thu May 01, 2008 9:08 am 
Offline

Joined: Thu Sep 20, 2007 8:09 pm
Posts: 96
Чтоб не быть голословным прикладываю скрин. Надеюсь, мне кто-нибудь что-нибудь объяснит :)


Attachments:
.JPG
.JPG [ 124.12 KiB | Viewed 8060 times ]
Top
   
PostPosted: Thu May 01, 2008 10:54 am 
Offline
User avatar

Joined: Mon Apr 16, 2007 6:38 pm
Posts: 1222
и что? У меня например Авирой эмулятор Даймонда опознается как троян. И что? Панда мне и лицензионные игры удаляла) причем сами экзешники

_________________
И мы уже давно не пешки,
Мы пули, мы орлы, и решки!
Война ютит бинарный код,
Умри, или иди вперед!


Top
   
PostPosted: Thu May 01, 2008 11:11 am 
Offline
User avatar

Joined: Fri Jan 27, 2006 3:06 pm
Posts: 1072
У меня ни KIS ни ESET Smart Security с последними базами ничего не находили - похоже на ложное срабатывание (реакция на определенную последовательность байт)


Top
   
PostPosted: Thu May 01, 2008 5:35 pm 
Offline
Kernel Developer
User avatar

Joined: Mon Mar 20, 2006 10:44 am
Posts: 558
NOD32 с ежедневным обновлением молчит, на лицо ложное срабатывание, или живность завелась после загрузки...


Top
   
PostPosted: Fri May 02, 2008 7:08 pm 
Offline

Joined: Thu Sep 20, 2007 8:09 pm
Posts: 96
Ну, можно и архив просканить свежескачанный... У меня и Авира на него ругалась... Просто вроде как AVG один из лучших эвристиков... Хорошо, понял :)


Top
   
PostPosted: Fri May 02, 2008 8:02 pm 
Offline

Joined: Sat Mar 22, 2008 4:38 pm
Posts: 20
Ну это же загрузчик, который предварительно выгружает винду.

Есстественно антивирус может посчитать этот файл потенциально опасным. Но если его не запускать, ничего не будет.


Top
   
PostPosted: Tue Oct 28, 2008 4:56 pm 
Offline
Kernel Developer
User avatar

Joined: Mon Nov 28, 2005 8:00 pm
Posts: 1600
Ложное срабатывание. Впрочем, AVG такой не один: avast ругается на 9x2klbr.exe ("Win32:Trojan-gen {Other}") и ldklbr.sys ("Win32:Rootkit-gen [Rtk]"). Кстати, и к тому, и к другому прилагаются исходники. 9x2klbr дополнительно пожат упаковщиком fsg, без упаковки avast затыкается.

В любом случае, можно просто удалить папки 9x2klbr и nt2klbr - для работы собственно системы они не нужны :)

_________________
Ушёл к умным, знающим и культурным людям.


Top
   
PostPosted: Fri Nov 28, 2008 12:30 am 
Offline
Kernel Developer
User avatar

Joined: Mon Nov 28, 2005 8:00 pm
Posts: 1600
Gluk wrote:
У меня например Авирой эмулятор Даймонда опознается как троян. И что? Панда мне и лицензионные игры удаляла) причем сами экзешники

Авире и Панде в KlbrInWin.exe не нравится вполне конкретная вещь - нестандартная структура секций (всё свалено в одну, а сочетание атрибутов code writable может наводить на подозрения). Сделал стандартную структуру из .code,.rdata,.data - заткнулись (сравните http://www.virustotal.com/ru/analisis/b ... 02115cdbab и http://www.virustotal.com/ru/analisis/6 ... 3e2081fa5b).

_________________
Ушёл к умным, знающим и культурным людям.


Top
   
PostPosted: Sat Dec 06, 2008 12:32 am 
Offline
Kernel Developer
User avatar

Joined: Mon Nov 28, 2005 8:00 pm
Posts: 1600
Как подсказывают наши коллеги-ассемблерщики с форума фасма (http://board.flatassembler.net/topic.php?t=9099, ссылка куда, кстати, проскочила на форуме васма от Osen), для затыкания остальных антивирусов нужно модифицировать сам фасм, чтобы он заполнял определённые поля в PE-заголовке, которые самой системе нафиг не нужны. Два из трёх оставшихся действительно заткнулись, а вот паникёр под названием F-Secure, как выяснилось, ругается ещё и на "неправильную", по его мнению, DOS-заглушку, что уже совсем ни в какие ворота не лезет. Раздуть симпатичную заглушку из 40h байт на 20h дополнительных байт я решился только после того, как вспомнил, что после PE-заголовка всё равно есть неиспользуемые байты на выравнивание, которые "съедают" потерю/выигрыш на заглушке. Зато в результате получающийся бинарник таки вирусом не считает никто :) (http://www.virustotal.com/ru/analisis/c ... 56fd751f97 - доказательство того, что KlbrInWin.exe не вирус, а самая что ни на есть честная Win32-программа).

P.S. С 9x2klbr.exe, наверное, когда-нибудь проделаю то же самое, а nt2klbr.exe нужно выкинуть - всё равно он работает на весьма ограниченном числе конфигураций и то иногда криво, а по существу не нужен.


Top
   
PostPosted: Tue Mar 03, 2009 12:50 pm 
Offline

Joined: Tue Mar 03, 2009 12:42 pm
Posts: 2
вы чтото будите с етим решать? http://www.virustotal.com/ru/analisis/5 ... 87e31cc803 (9x2klbr.exe) 8 из 39 - 20%


Top
   
PostPosted: Wed Mar 04, 2009 11:06 am 
Offline
User avatar

Joined: Tue Jan 24, 2006 8:50 am
Posts: 247
virusserver
с сайта цитата:
Quote:
В настоящее время отсутствует какое-либо решение, которое обеспечило бы 100% эффективность выявления вирусов и вредоносных программ.


да и писалось уже вроде
Quote:
9x2klbr дополнительно пожат упаковщиком fsg

и
Quote:
можно просто удалить папки 9x2klbr и nt2klbr - для работы собственно системы они не нужны


з.ы. в kol_0750_src.7z есть исходники 9x2klbr... в kol_0750_src.7z/other\HD_load\9x2klbr... так что можешь изучить вредоностность программы...


Top
   
PostPosted: Sat Mar 28, 2009 3:38 pm 
Offline

Joined: Thu Mar 26, 2009 9:29 pm
Posts: 1
virusserver wrote:
вы чтото будите с етим решать? http://www.virustotal.com/ru/analisis/5 ... 87e31cc803 (9x2klbr.exe) 8 из 39 - 20%

Ставки повышаются :) , сегодня результат 13/39 (33.34%).


Top
   
PostPosted: Sat Mar 28, 2009 8:52 pm 
Offline
User avatar

Joined: Fri Jan 27, 2006 3:06 pm
Posts: 1072
Да еклмн, народ, в последнем дистре, насколько мне известно, программы подправлены так, что антивирусы уже не считают их вирусами. К тому же, как уже писали - исходники доступны — найдите вредоносность! Если не считать того, что 9x2klbr насильно выгружает (!) винду и пытается загрузить колибри, что уже, если глубоко не копать, можно оценить как подозрительное поведение.


Top
   
PostPosted: Sat Mar 28, 2009 10:24 pm 
Offline
Mentor
User avatar

Joined: Tue Jan 15, 2008 11:27 am
Posts: 756
Если антивирусы определяют 9x2klbr как вирус, то это их проблемы. Вопрос о том - доверять программе с открытыми исходниками или закрытому антивирусу? И это дело каждого. Если кого-то волнует вопрос вируса в офф. дистрибутиве - пишите разработчикам соответствующих антивирусов.


Top
   
PostPosted: Sun Mar 29, 2009 8:42 am 
Offline

Joined: Thu Jan 26, 2006 8:47 pm
Posts: 284
Вот кому не нравится...
По вирустоталу проходит как 3/39
http://www.virustotal.com/ru/analisis/3 ... 46e98df1da

А это говорит о том что 10 предидущих антивирусов - лажа тк не распознают поксоренный код :lol:


Attachments:
9x2klbr_.7z [1.53 KiB]
Downloaded 510 times
Top
   
Display posts from previous:  Sort by  
Post new topic  Reply to topic  [ 24 posts ]  Go to page 1 2 Next

All times are UTC+03:00


Who is online

Users browsing this forum: No registered users and 5 guests


You cannot post new topics in this forum
You cannot reply to topics in this forum
You cannot edit your posts in this forum
You cannot delete your posts in this forum
You cannot post attachments in this forum

Search for:
Jump to:  
Powered by phpBB® Forum Software © phpBB Limited