[ salvaric @ 05.11.2020. 19:06 ] @
Pozdrav,

imam problem sa aplikacijama koje sam napravio u Lazarus-u.

Problem nastaje kada iste okačim na web (google drive, moj host, bilo gde) i preuzmem ih, Avast i Panda ih detektuje kao virus (Panda w32/Exploit.gen) i ne dozvoljava njihovo izvršenje. Kačio sam ih kao sam exe, zip i install exe fajl, kod svakog nastaje isti problem.

Testirao sam i blanko aplikaciju, funkcioniše sve, kako i moje aplikacije, dok ne okačim i preuzmem, tad je pohrani u virus bazi i blokira rad i one prethodne kompajlirane na kompu.

Da li je neko imao sličan problem il možda ima neki predlog šta da pokušam?

[Ovu poruku je menjao salvaric dana 05.11.2020. u 20:17 GMT+1]
[ savkic @ 06.11.2020. 01:46 ] @
Kad se fajl downloaduje ubaci se neki dodatni stream koji to signalizira pa mozda antivirus reaguje na to. Idi na properties tog fajla, pa unblock.

Proveri i naravno da li su fajlovi identicni.
[ salvaric @ 06.11.2020. 06:44 ] @
Da, ubacije stream u fajl i nakon deblokiranja radi kako treba. Proverit ću još i zipovane fajlove dal vrši izmenu i kod njih.

Meni nije problem rešit to kod sebe, već korisnici kojima prosleđujem su sumnjičavi pa mi to pravi problem, ne možeš ubediti da program nema nikakvu lošu namenu.

Ne znam na koji način mogu to okačiti da korisnici mogu preuzeti bezbedno.

Lakše je danas dokazati krivicu nego nevinost! :)

[ tkaranovic @ 06.11.2020. 11:41 ] @
Verovatno reaguje na program koji se pojavio "niotkuda".

Verovatno bi bilo kakva instalacija promenila stvar.

Ili uac da mora da se koristi run as admin...
[ savkic @ 06.11.2020. 13:53 ] @
> Meni nije problem rešit to kod sebe, već korisnici kojima prosleđujem su sumnjičavi pa mi to pravi problem, ne
> možeš ubediti da program nema nikakvu lošu namenu.

Kazes da ga provere na virustotal.com.

> Ne znam na koji način mogu to okačiti da korisnici mogu preuzeti bezbedno.

Ugradis updejt u svoj program i preuzmes fajl sa nekog servera. Ako nemas svoj server onda je tu stos naci neki koji je besplatan a dozvoljava fiksne linkove, mozda DropBox, GDrive ili OneDrive.
[ salvaric @ 06.11.2020. 19:54 ] @
Skenirao sam na www.virustotal.com blanko aplikaciju 32-bit i 64-bit kompajlirane sa fpc 3.2.0.

Kod 32-bitne, Cylance antivurus ga prijavljuje kao nebezbednu aplikaciju (unsafe), dok kod svih ostalih je sve ok

64-bitna aplikacija nema problema, ne detektuju je virus il opasnost.

Izgleda da u samom 32-bitnom fpc kompajleru postoji neki za***-propust, ili plasiraju svoj virus kroz naše aplikacije :)
[ savkic @ 06.11.2020. 21:43 ] @
FPC i Delphi naravno rade kako treba, neki od tih glupih antivirusa imaju brdo false positive detekcija. Ako Kaspersky, Nod, Symantec ne jave nista onda je program cist.
[ Branimir Maksimovic @ 06.11.2020. 21:55 ] @
Fora sa false detekcijom je sto ako ne prepoznaju pattern kako C/C++ kompajler postavlja stek frame f-ja, tj ako ne prepoznaju standardan nacin, onda odmah sumnjaju da je virus.
Tako svi asmebler programi prolaze inace :P
[ tkaranovic @ 07.11.2020. 08:23 ] @
Interesantno.

Bilo bi intresantno znati da li postoji Delphi koji nema ovaj problem.

Ja sam imao slicno iskustvo ali nisam imao vremena da probam da li ce nesto da radi i kako.
[ Branimir Maksimovic @ 07.11.2020. 08:32 ] @
Jedini nacin je da anti virus autori dodaju FPC kao standardan kompajler, jer verujem da su to za delphi, VC, i popularne C/C++ kompajlere vec uradili.
[ tkaranovic @ 07.11.2020. 09:08 ] @
Ja sam imao problem sa Delphi programom.
[ tkaranovic @ 07.11.2020. 09:53 ] @
Da dopunim, posto sam sad pogledao detaljnije, da je Delphi program neki stari kozolni test program koji je imao vise test unita a pozivana je funkcija samo u jednom.

Inace nije obrisan (pre bekapovanja) jer je bio u zip fajlu. Tako da ne znam kako bi reagovao na ostale slicne.

Verovatno je imao puno viska (test) funcija.
[ Branimir Maksimovic @ 07.11.2020. 09:58 ] @
Ma ti antivirus autori su lejmeri, paskal calling konvencija je standard zadnjih 40 godina :)
[ tkaranovic @ 07.11.2020. 10:49 ] @
Imao sam kasko osigurana kola i nisam produzio osiguranje.
Zove iz osihuranja da me poseti a ja kazem da necu vise osigravati.
Posle nekog vremena mi jedno staklo razbijeno a nista nije ukradeno.
Posle jos nesto vremena zove iz osiguranja i pita da li sam se predomislio.

Ne tvrdim da sigurno to ima jedno sa drugim (ni lejmerima) veze :)
[ salvaric @ 07.11.2020. 17:03 ] @
Da li se može u aplikaciju dodati digitalni sertifikat sa LK, kao fizičko lice?

Našao sam primer preko signtool.exe aplikacije, ali traži .p12 sertifikacioni fajl. Jedino što mogu eksportovati sa LK je .cer i .p7b, što ne pije vode.

Možda bi u tom slučaju izbegao antivirusne neprijatnosti.
[ ravni @ 09.11.2020. 07:56 ] @
Postoji code signing certificate. Verovatno bi pomoglo u tvom slucaju

https://comodosslstore.com/res...code-code-signing-certificate/
[ salvaric @ 10.11.2020. 09:52 ] @
Uspeo sam da implementiram sertifikat u exe, na virustotal ga ne prepozna ni jedan antivirus kao nepoželjnog.

Međutim, kad ga zapakujem u instalaciju (inno setup), okačim i preuzmem, opet isti problem, Panda antivirus ga opet ukloni.

Tako da ni to nije rešenje.
[ tkaranovic @ 10.11.2020. 11:11 ] @
WIN defender stalno obnavlja bazu tekucih stetocina i nju koristi.
Mozda ih koristi tako sto uporedjuje niz bajtova svakog od njih iz te baze.

Tako da bi probao da izmenim redosled unita/coda... tako da dobijes exe sa kodom na izenjenim mestima.

Ako pronalaze na taj nacin i ako se izmeni niz bajtova koje pronalaze onda he to resenje.
Probao sam na onaj link sa virus detektorom da proverim program koji sam ja imao i dobio sam da vecina ne nalazi nista.
Kada sam ga samo ponovo kompajlirao imao je samo neke bajtove drugacije i imao je tamo drugaciji rezultat sa manje pronalazenja.
[ savkic @ 10.11.2020. 14:59 ] @
> Uspeo sam da implementiram sertifikat u exe, na virustotal ga ne prepozna ni jedan antivirus kao nepoželjnog.

Koji sertifikat si koristio?

> Međutim, kad ga zapakujem u instalaciju (inno setup), okačim i preuzmem, opet isti problem, Panda antivirus ga opet ukloni.

A ako sertifikujes setup?
[ salvaric @ 11.11.2020. 11:44 ] @
Implementirao sam sertifikat i u setup, al ne pije vode.

Na netu sam našao neki free generator sertifikata, i napravio, i pomoću signtool aplikacije primenio na exe fajlu, a i na setup fajlu kroz inno setup kod, njigovom metodom.

Međutim, inno setup exe fajl prijavljuje više nepoželjnih dejstava nego sam program, sa i bez sertifikata.

Pokušao sam i zipovati sam direktotijuj programa, sa pripadajućim datotekama koje koristi, okačiti i preuzeti, i opet jeb... Pana ga ukloni.

Avast uzme da proveri izvršnu datoteku (exe), i vrati da je sve ok, i nastavi sa radom, al ta Panda me nervira, ukloni je i smesti u neki svoj direktorijum, valjda, jer ne deluje mi kao nezbiljna institucija po pitanju virusne zaštite.

Nije mi jasno šta se njoj tu ne sviđa, ako mi dozvloli da kompajliram i pokrenem isti program na jednom kompu, i radi sve bez ikakvih problema, više puta testiram i pokrećem i sve ok, sve dok ne preuzmem na drugi računar.
[ salvaric @ 11.11.2020. 11:53 ] @
program 64-bit
program 32-bit
[ tkaranovic @ 11.11.2020. 14:05 ] @
Na linkovima je isit fajl.

Kad se ubaci:

https://www.virustotal.com/gui...fdf22f12cc22efd24c18/detection

Panda ne reaguje. Mozda je sestio i lokalnu bazu ime fajla pa reaguje samo na ime.

Mozda ima neki brisanje iz lokalne baze.
[ _deran_ @ 12.11.2020. 07:01 ] @
Meni je antivirusni prijavljivao problem kada sam svoj exe pakovao sa UPX. Valjda primeti da exe koji korisnik startuje u sebi ima neki drugi exe koji se dodatno pokreće pa to smatra zlonamernim... Ne znam da li je to sad rešeno, ovo mi se davno dešavalo a od tada ne koristim UPX (na žalost).