пятница, 9 октября 2009 г.

Протекторы и паранойя антивирусов

Ночка выдалась – разработческая, добротная, с приключениями и со счастливым концом. Хотя, скорее это уже было счастливое “начало”, т.к. этот самый счастливый “конец” наступил только под раннее утро.

Разработал, значитъ-панимаешь, софтинку. Закрыл ее, значитъ, протектором. Гружу на сайт по FTP – у-у-упс! Облом! Закачка проходит, но в последний момент файл отвергается сервером… Эка, блин!

Смотрю логи. Оказывается это антивирь на сервере ругается. Троян я оказывается написал… О, как! Ну, ладно – троян так троян – не в первой же! Перепишем, перекодим и станет “троянчик” белым да пушистым.

Начинаю разбираться: собираю exe-шник в разных конфигурациях, по очереди вырубаю элементы защиты, гружу по фтп непротекченный exe-шник. Долго ли коротко, но выясняется, что антивирю не нравится именно запротекченный код – чистый exe-шник грузится в нормально. ОК! Бегом на virustotal, сканируются разные варианты exe-шника, вычисляются возможные кандидаты на паранойю. Выявляется парочка-троечка. Начинаю теребить тех. поддержку хостинга: что за антивирь, отчего паранойя? Выясняется виновник – ClamAV.

Ну да ладно, начинаются игры с протектором: меняем настройки так, сяк, эдак! В момент Икс все срабатывает, и проблемный exe-шник уже на сервере, да и на virustotal проходит проверку вчистую. Отлично! Поют сердца. Качество работы антивиря впечатлило безмерно. Многие элементы защиты в проблемном exe-шнике применялись и в другом софте: контроль целостности кода, собственные виртуальные машины, асимметричная криптография, поверх пройтись протектором – и хоть бы хны! На всех этих приложениях не возникало ни малейшей проблемы, а тут на тебе!

А сегодня к вечеру, на хостинге вдруг появляется вот такая вот новость: безопасность сайта превыше всего. Сиречь, догоним и перегоним всех по false-positive срабатываниям антивирусов :).

Эка разобрали мои письма тех. поддержку, если даже новость через сутки вывесили!?! Правда, новость не то чтобы не достоверная. О нет! Все вполне верно. Это правда, только правда и ничего кроме правды. Только это не вся правда! Проблема-то была не вирусах, а в недоантивирусах :). На virustotal версия ClamAV и сигнатурные базы за сутки так и не сменились, но в конце концов clamAv exe все-таки пропустил. И смех, и грех!

В завершение: практически сразу был опробован метод загрузки на ftp-сервер запароленных архивов, кои антивирь, конечно же, пропускал без вопросов. Собственно говоря, кто мешает указать пароль к архиву в комментариях? Вроде как выход? Да и архив аккурат был c portable-версией – как бы подразумевается, что пользователь распаковкой владеет!?! Только как-то это более привычно для вареза на рапидшарах – уж больно подозрительно это – архив для публичного скачивания под паролем!
Имхо, запароленный архив скорее приведет к проверке на том же virustotal, с последующими закономерно и бесконечно вытекающими вопросами пользователей.

PS: а сегодня день рождения Джона Леннона! Сегодня бы ему, между прочим, стукнуло бы уже 69 лет…

Комментариев нет:

Отправить комментарий