Hades Ownage wrote:unpackRo wrote:Executabilul este un injector [...]
Atunci dacă e injector de ce îl recunoaşte ca virus ? :)
Din cauza "heuristic detection" care este implementata cam in orice antivirus mai nou. Este o metoda foarte simpla si destul de nesigura de a analiza un fisier daca contine cod malitios.
Practic cand pornesti un program antivirusul cauta in codul executat daca exista una dintre semnaturile disponibile in baza de date a antivirusului, iar daca nu se gaseste nimic acesta este analizat prin "heuristic detection analysis", care cauta puncte comune cu semnaturile virusilor deja cunoscuti ; spre exemplu accesarea anumitor zone de memorie, executarea unor interogari la API-ul sistemului de operare, etc. De regula fisierele care sunt marcate ca si virusi prin aceasta metoda au la sfarsitul numelui termenul ".Generic" ; de exemplu "<un nume>.Trojan.Generic sau <alt nume>.Work.Generic", tocmai pentru ca nu exista in baza de date o semnatura exacta a respectivului cod malitios.
De exemplu daca folosesti
Hook_Keyboard sau
SetWindowsHookEx, in anumite contexte kaspersky si bitdefender or sa sara ca arsi si or sa tipe din tot plamanul:
Virus found PDM.Trojan.Generic
Programul poate sa nu contina nici macar o linie de cod malitioasa, dar pentru ca are anumite puncte comune cu un virus, poate sa trezeasca suspiciunea unui antivirus si sa il marcheze ca si virus. Tocmai din aceasta cauza aceasta metoda nu este sigura, pentru ca marcheaza ca virusi multe fisiere inofensive, dar cum alta metoda mai sigura nu exista momentan ..
I'm not antisocial, I'm just not user friendly.
⎯ retired