Author Topic: Win32: Evo-Gen  (Read 75539 times)

0 Members and 1 Guest are viewing this topic.

Offline George Yves

  • Avast Überevangelist
  • Massive Poster
  • *****
  • Posts: 4155
  • Help you I can
Re: Win32: Evo-Gen
« Reply #15 on: November 25, 2013, 06:14:02 PM »
Stdlib
Quote
Культуру речи я как раз потерял при общении с вашим антивирусом (один мой коллега зовет его FakeAVast).
http://forum.avast.com/index.php?topic=102771.msg900279#msg900279
Quote
3. Не выплёскивайте эмоции - Указывайте факты и только факты. Всё остальное только затуманивает проблему. Мы понимаем, что вы расстроены, но чем быстрее проблема будет решена, тем быстрее ваше настроение улучшится. И тогда в социальных сетях вы сможете поделиться своей радостью с друзьями.

Quote
Нет такого эвристика, например, в Microsoft Security Essentials - там есть эмулятор ..........
Позвольте ещё раз повторить - здесь не официальная служба техподдержки, а форум сообщества. Если у Вас есть конкретные предложения и замечания, то их надо сообщать разработчикам программы: http://www.avast.ru/contact-form.php

Quote
"Предоставить вирусам и другим вредоносным программам удобный доступ на компьютер пользователя" поясните что здесь имеется ввиду.
Отмечу, что эта опция включена по умолчанию. Сейчас делаем АИС, половина которого уже определяется как evo-gen. Что я должен покупателям этой АИС говорить? Удаляйте Avast? Выключайте ПНП? Вы в курсе современных реалий? Представьте себе, что мне пользователи должны ответить.
Простейший пример - перенаправление и хайджекинг браузера. Касательно Вашей программы, то опять-таки Вам можно порекомендовать конкретное обращение в службу техподдержки и к разработчикам. Пользователи Аваста, участники форума, не могут Вам в этом помочь. Вы метаете громы и молнии не там где следует и не в тех в кого следует.

Quote
Расскажу что произошло конкретнее. Заблокировали наши сайты (причем попали только в блэклист Avast). После обращения в саппорт пришло письмо о том, что сайты эти не блокируются, пришлите скриншот. И чудо - сайты действительно не блокировались, но только до следующего обновления. Потом, после скриншота нам принесли извинения, сайты разблокировали. Могу привести номера тикетов.
Вы опять путаете общественный форум с официальной техподдержкой. Участники форума не заводят тикетов и не решают их.

Quote
По поводу блокирования сайтов объясните мне еще одну вещь. Я заметил что Avast блокирует приватные AV-чекеры. Боитесь вирусописателей?
Что Вы называете AV-чекерами? Антивирусные сканеры типа DrWeb-CureIt!? Расскажите подробнее, пожалуйста. Лично мне не встречалась такая проблема.

Quote
В заключение: я бы это на форуме не писал, но вот саппорт меня что-то игнорирует. И заметьте, пишу я не в стиле Антона Уральского, никого не оскорбляю. Пишу только то, что сам видел.
Не читал Уральского, но это и не важно. А вот первая фраза из процитированного меня удивляет. Неужели Вы думаете, что разгромная рецензия и резкие обвинения на общественном форуме могут компенсировать Вашу неудачу контакта с техподдержкой? Да и не игнорируют они Вас: здесь уже давно ни для кого не секрет, что техподдержка Аваста прежде всего англо- и германо-язычна, поэтому у них там и экстренный телефон и несколько офисов. В русском секторе у них очень слабые позиции, поэтому ответной реакции приходится дожидаться не один и не два дня, и при этом чуть ли не ежедневно "капать" им на мозги напоминаниями.
« Last Edit: November 25, 2013, 06:22:06 PM by George Yves »
May the FOSS be with you!

Offline George Yves

  • Avast Überevangelist
  • Massive Poster
  • *****
  • Posts: 4155
  • Help you I can
Re: Win32: Evo-Gen
« Reply #16 on: November 25, 2013, 06:23:38 PM »
Avast Pidarast
Пожалуйста, прислушайтесь к правилам форума:
http://forum.avast.com/index.php?topic=102771.msg822989#msg822989
Quote
Не используйте пошлые и вульгарные выражения в своих никах.
http://forum.avast.com/index.php?topic=102771.msg849186#msg849186
Quote
Выбирайте себе псевдоним или ник (от англ. nickname - прозвище, кличка), не оскорбляющий других участников форума.
Как только Вы наберёте более 20 сообщений на форуме, я Вам рекомендую сменить ник. Слишком он у Вас эпатажный.

Quote
очень бы хотелось услышать сотрудника, непосредственно причастного к данному виду "мегатехнологии"
Его адрес Вам известен: http://www.avast.ru/contact-form.php
May the FOSS be with you!

Offline afix

  • Super Poster
  • ***
  • Posts: 1567
Re: Win32: Evo-Gen
« Reply #17 on: November 25, 2013, 07:56:53 PM »
Avast Pidarast
Пожалуйста, прислушайтесь к правилам форума:
http://forum.avast.com/index.php?topic=102771.msg822989#msg822989
Quote
Не используйте пошлые и вульгарные выражения в своих никах.
http://forum.avast.com/index.php?topic=102771.msg849186#msg849186
Quote
Выбирайте себе псевдоним или ник (от англ. nickname - прозвище, кличка), не оскорбляющий других участников форума.
Как только Вы наберёте более 20 сообщений на форуме, я Вам рекомендую сменить ник. Слишком он у Вас эпатажный.

Quote
очень бы хотелось услышать сотрудника, непосредственно причастного к данному виду "мегатехнологии"
Его адрес Вам известен: http://www.avast.ru/contact-form.php
Не слишком ли Вы толерантны к одним и нетерпимы к другим? Закрадываются нехорошие подозрения... Избирательное правосудие,как у Я----ча? :D

Offline Stdlib

  • Newbie
  • *
  • Posts: 11
Re: Win32: Evo-Gen
« Reply #18 on: November 26, 2013, 02:05:19 PM »
Stdlib
Quote
Культуру речи я как раз потерял при общении с вашим антивирусом (один мой коллега зовет его FakeAVast).
http://forum.avast.com/index.php?topic=102771.msg900279#msg900279
Ок, Ваше высказывание про культуру речи, наверное, эмоциональным не является.
Quote
3. Не выплёскивайте эмоции - Указывайте факты и только факты. Всё остальное только затуманивает проблему. Мы понимаем, что вы расстроены, но чем быстрее проблема будет решена, тем быстрее ваше настроение улучшится. И тогда в социальных сетях вы сможете поделиться своей радостью с друзьями.
При этом ниже Вы же пишете, что в авасте особо с проблемами не желают разбираться (цитирую: "и при этом чуть ли не ежедневно "капать" им на мозги напоминаниями"),
Quote
Нет такого эвристика, например, в Microsoft Security Essentials - там есть эмулятор ..........
Позвольте ещё раз повторить - здесь не официальная служба техподдержки, а форум сообщества. Если у Вас есть конкретные предложения и замечания, то их надо сообщать разработчикам программы: http://www.avast.ru/contact-form.php
Тогда зачем Вы мне вообще здесь про эвристик писали?
Quote
"Предоставить вирусам и другим вредоносным программам удобный доступ на компьютер пользователя" поясните что здесь имеется ввиду.
Отмечу, что эта опция включена по умолчанию. Сейчас делаем АИС, половина которого уже определяется как evo-gen. Что я должен покупателям этой АИС говорить? Удаляйте Avast? Выключайте ПНП? Вы в курсе современных реалий? Представьте себе, что мне пользователи должны ответить.
Простейший пример - перенаправление и хайджекинг браузера. Касательно Вашей программы, то опять-таки Вам можно порекомендовать конкретное обращение в службу техподдержки и к разработчикам. Пользователи Аваста, участники форума, не могут Вам в этом помочь. Вы метаете громы и молнии не там где следует и не в тех в кого следует.
Просто замечательно. Те антивирусы у которых есть нормальный эвристик это могут вычислить я понимаю. Как перенаправление и хайджекинг браузера определяется по PE-заголовку, этого я понять не могу.
Приведу пример: в 2011 году писал научную работу по методикам тестирования антивирусов. Изучали мы эвристики. Типичный случай: в импорте есть функции для работы с реестром, сетью, файловой системой. В коде последовательно вызвается: сеть, копирование файлов, реестр. Что это может быть? Downloader. Так ведет себя нормальный эвристик.
Есть эвристики в Panda antivirus, BitDefender (и его производных F-prot, G-Data, Emsisoft и прочих). Они не нормальны, иногда реагируют на размеры секций, на кусок импорта и пр. Но при этом они все равно ориентируются по коду, импорту, данным, ресурсам. Ориентироваться только по PE-заголовку нельзя.

Quote
Расскажу что произошло конкретнее. Заблокировали наши сайты (причем попали только в блэклист Avast). После обращения в саппорт пришло письмо о том, что сайты эти не блокируются, пришлите скриншот. И чудо - сайты действительно не блокировались, но только до следующего обновления. Потом, после скриншота нам принесли извинения, сайты разблокировали. Могу привести номера тикетов.
Вы опять путаете общественный форум с официальной техподдержкой. Участники форума не заводят тикетов и не решают их.
Я описал проблему, с которой может столкнуться каждый участник форума - т.е. покупатель или потенциальный покупатель данного анитивируса.

Quote
По поводу блокирования сайтов объясните мне еще одну вещь. Я заметил что Avast блокирует приватные AV-чекеры. Боитесь вирусописателей?
Что Вы называете AV-чекерами? Антивирусные сканеры типа DrWeb-CureIt!? Расскажите подробнее, пожалуйста. Лично мне не встречалась такая проблема.
Сайты наподобие VirusTotal и Jotty.

Quote
В заключение: я бы это на форуме не писал, но вот саппорт меня что-то игнорирует. И заметьте, пишу я не в стиле Антона Уральского, никого не оскорбляю. Пишу только то, что сам видел.
Не читал Уральского, но это и не важно. А вот первая фраза из процитированного меня удивляет. Неужели Вы думаете, что разгромная рецензия и резкие обвинения на общественном форуме могут компенсировать Вашу неудачу контакта с техподдержкой? Да и не игнорируют они Вас: здесь уже давно ни для кого не секрет, что техподдержка Аваста прежде всего англо- и германо-язычна, поэтому у них там и экстренный телефон и несколько офисов. В русском секторе у них очень слабые позиции, поэтому ответной реакции приходится дожидаться не один и не два дня, и при этом чуть ли не ежедневно "капать" им на мозги напоминаниями.
Читать это следует так: купили геморрой за свои-же деньги. Вроде контора чешская, а на самом-то делe типичный бизнес по-русски.

Offline Stdlib

  • Newbie
  • *
  • Posts: 11
Re: Win32: Evo-Gen
« Reply #19 on: November 26, 2013, 02:09:20 PM »
Кстати, буду еще раз писать в техподдержку объемное письмо. Кого-нибудь из пользователей форума результаты этих всех дел будут интересовать? Может какие вопросы задать?
Раз уж тут форум взаимопомощи, то окажу помощь части пользователей Avast.
Многие спрашивают что-же такое Win32:Evo-Gen (хотел тут ссылки привести, но не буду - заходим в гугл и пишем Win32:Evo-Gen, действительно многие спрашивают, даже у техподдержки, но мы же помним: "ответной реакции приходится дожидаться не один и не два дня, и при этом чуть ли не ежедневно "капать" им на мозги напоминаниями").
Отвечаю - совершенно рандомный детект - пустышка. Может вирус, может легитимный файл, может вообще невалидный PE-файл.
« Last Edit: November 26, 2013, 02:20:41 PM by Stdlib »

Offline I will obey forum rules

  • Newbie
  • *
  • Posts: 9
Re: Win32: Evo-Gen
« Reply #20 on: November 26, 2013, 10:47:07 PM »
George Yves, приму во внимание ваш совет. но мой ник никого не оскорбляет и в нем нет мата. провентилируйте если что википедию на предмет описания 2го слова в нике.

afix, по теме есть чо? опять спрашиваю. нет? - прошу вас удалиться и не мешать ;D

Stdlib, да, конечно будет интересен результат. по поводу вопросов: трудно тут что-то им советовать исправить, учитывая саму суть детекта evo gen: просто хочется сказать "Не страдайте ерундой", направьте усилия на разработку нормального эвристика (которого у них считай нет) или уберите вообще evo gen.

и стоит им "напомнить" про то, что результат их меготехнологий будущего - это детект 90% написанного софта вне зависимости от языка написания, будь то программист, пишуший на Си, на бейсике и прочем.

Offline Dima DD

  • Newbie
  • *
  • Posts: 5
Re: Win32: Evo-Gen
« Reply #21 on: November 27, 2013, 03:52:38 PM »
У меня АВАСТ в основном "обнаруживает" Evo-gen[susp] в моих программах (Delphi 7), пожатых с помощью UPX. Около пары десятков таких уже наберётся... Что ещё тут неприятно: в списке предлагаемых действий экрана защиты отсутствует игнорирование, можно лишь переместить в карантин, удалить, блокировать или лечить (либо то же самое автоматически). :(

Offline Andrey,pro

  • Avast Überevangelist
  • Ultra Poster
  • *****
  • Posts: 5018
  • Things happen
Re: Win32: Evo-Gen
« Reply #22 on: November 27, 2013, 03:54:57 PM »
Stdlib, с чего был сделан вывод о том, что файл признается подозрительным по PE-заголовку? Вы сами это придумали и вводите в заблуждение других пользователей. Прежде чем делать такие громкие заключения надо разобраться в механизмах работы технологии Evo-Gen.
Да, возможно технология нуждается в доработке, т.к. часто происходят ложные срабатывания, но это не умиляет достоинства данной технологии.
Подробнее о данной технологии можно почитать здесь: http://blog.avast.com/2012/12/03/new-toy-research-lab/ (к сожалению, статья на английском).
Если происходит блокировка всех созданных Вами программ, то необходимо обратиться в техническую поддержку аваст и сообщить о возникшей проблеме, ложные срабатывания обычно исправляются быстро. Достаточно сообщить, что ложное срабатывание происходит с любой созданной программой на masm'е и прикрепить одну из таких программ.

Offline George Yves

  • Avast Überevangelist
  • Massive Poster
  • *****
  • Posts: 4155
  • Help you I can
Re: Win32: Evo-Gen
« Reply #23 on: November 27, 2013, 04:03:37 PM »
George Yves, приму во внимание ваш совет. но мой ник никого не оскорбляет и в нем нет мата. провентилируйте если что википедию на предмет описания 2го слова в нике.
Спасибо, что не проигнорировали мою просьбу. На счёт же Вики и т.п. я Вам скажу так: оригинальность хороша вмеру, не стоит эпатировать публику, даже если Вы просто цитируете Библию или Коммунистический манифест.
May the FOSS be with you!

Offline I will obey forum rules

  • Newbie
  • *
  • Posts: 9
Re: Win32: Evo-Gen
« Reply #24 on: November 27, 2013, 06:30:44 PM »
Stdlib, с чего был сделан вывод о том, что файл признается подозрительным по PE-заголовку? Вы сами это придумали и вводите в заблуждение других пользователей. Прежде чем делать такие громкие заключения надо разобраться в механизмах работы технологии Evo-Gen.
Да, возможно технология нуждается в доработке, т.к. часто происходят ложные срабатывания, но это не умиляет достоинства данной технологии.
Подробнее о данной технологии можно почитать здесь: http://blog.avast.com/2012/12/03/new-toy-research-lab/ (к сожалению, статья на английском).
Если происходит блокировка всех созданных Вами программ, то необходимо обратиться в техническую поддержку аваст и сообщить о возникшей проблеме, ложные срабатывания обычно исправляются быстро. Достаточно сообщить, что ложное срабатывание происходит с любой созданной программой на masm'е и прикрепить одну из таких программ.
опытным путем установлено. установлено то, что 80% - это детект по параметрам секций (оффсет\размер\имя\характ-ки) и простоналичие записей в DATA DIRECTORY. отмечу, что именно просто наличие. какое там число - не важно. это крутая метода  :D
далее: вот наш отдел техподдержки установил давно на некоторые машины аваст. мы - отдел  разработчиков пишем, поддерживаем софт по учету товара, бухгалтерские программки и прочее. постоянно, приходя на работу, я пишу что-то новое, более удобное, учитываю просьбы наших пользователей... и вот как замечательно получается - я в очередной раз компилирую проект. тестируем его, всё ок. даю техподдержке - ребята, обновите там и там софт. они обновляют, и тут мегатехнология аваста говорит, что 2я секция .rdata = 3000h! это подозрительно, и автоматом удаляет.
т.е. что получается? при каждом компилировании проекта, я должен брать ВСЕ EXE, DLL, LIB, слать авасту. они там минимум день будут думать (что сомнительно в данной ситуации) добавят в новые базы исключение. мы ждем обновление баз, софт свой не обновляем.
потом опять - собираю проект, уже 3я секция станет подозрительная - цикл действий заново. думаю суть понятна.

так вот. мягко говоря, уважаемые, логику в вашей новой технологии ясно, что нет. но зачем вы сделали такой, простите, геморрой пользователям, разработчикам софта, нам лично? я и техподдержка не хочет ходить целый день к ста машинам и в каждой настраивать исключения и карантин. вы представляете обойти 100 и более машин?
думать надо что ли прежде, чем выпускать ужасы такие.
« Last Edit: November 27, 2013, 06:34:47 PM by I will obey forum rules »

Offline George Yves

  • Avast Überevangelist
  • Massive Poster
  • *****
  • Posts: 4155
  • Help you I can
Re: Win32: Evo-Gen
« Reply #25 on: November 27, 2013, 07:01:41 PM »
так вот. мягко говоря, уважаемые, логику в вашей новой технологии ясно, что нет. но зачем вы сделали такой, простите, геморрой пользователям, разработчикам софта, нам лично? я и техподдержка не хочет ходить целый день к ста машинам и в каждой настраивать исключения и карантин. вы представляете обойти 100 и более машин?
думать надо что ли прежде, чем выпускать ужасы такие.
Вы делаете типичную ошибку: здесь форум общественной поддержки и подавляющее большинство его участников и не сотрудники AVAST Software, а обычные пользователи продуктов компании. Мы не разработчики и не техподдержка, мы не разрабатываем и не выпускаем программу, мы пытаемся делиться своим опытом работы и так помогать решать проблемы с использованием антивируса и других программ. Если сообщество на форуме не в состоянии оказать помощь, то мы всегда рекомендуем обращаться непосредственно к авторам и создателям Аваста. Ваши претензии, выраженные в процитированном фрагменте надо отправлять им с помощью стандартной формы обращения или заводите тикеты в техподдержке.
May the FOSS be with you!

Offline Andrey,pro

  • Avast Überevangelist
  • Ultra Poster
  • *****
  • Posts: 5018
  • Things happen
Re: Win32: Evo-Gen
« Reply #26 on: November 27, 2013, 07:08:11 PM »
I will obey forum rules, в качестве исключения из-за масштабности проблемы я обратился к разработчикам антивируса. От Вас потребуется некоторая техническая информация, поэтому будьте готовы предоставить всю необходимую информацию. Сообщите пожалуйста, в какой среде Вы пишите программы?

Offline Stdlib

  • Newbie
  • *
  • Posts: 11
Re: Win32: Evo-Gen
« Reply #27 on: November 28, 2013, 07:17:42 AM »
Я пишу в связке - Code::Blocks и Gcc. Плюс, иногда Visual Studio, для некоторых проектов - Digital Mars. Ассемблер - MASM и FASM.
Пару минут назад звонили с работы - в карантине сидят файлы от программ Министерства Финансов - АС УРМ и Смета. Программы без этих файлов не работают, бухгалтерия в панике. Прошу пристально обратить на это внимание. Проблема уже приобрела действительно огромный масштаб. Ладно я то, могу разобраться, но видели бы вы иных админов госучреждений... У них вот точно зарплату за ноябрь не получат.

Offline Dima DD

  • Newbie
  • *
  • Posts: 5
Re: Win32: Evo-Gen
« Reply #28 on: November 28, 2013, 02:35:53 PM »
Вот последняя реакция на эту проблему от разработчиков (Honza Zíka): http://forum.avast.com/index.php?topic=140561.msg1027512#msg1027512
В общем, при больших напрягах есть резон отредактировать ini-файл АВАСТа: добавить там строчку "DisableEvogen=1" в секцию "[Scanner]".

Насколько я понимаю, инишка Avast5.ini находится тут:

Win7, Vista - C:\ProgramData\AVAST Software\Avast\avast5.ini
WinXP - C:\Documents and Settings\All Users\Application Data\AVAST Software\Avast\avast5.ini или C:\Documents and Settings\All Users\Application Data\Alwil Software\Avast5\avast5.ini


На время редактирования надо отключить функцию самозащиты АВАСТа:

Интерфейс - Настройки - Устранение неисправностей - Включить модуль самозащиты avast! (снять галочку, потом не забыть её поставить обратно)

Понадобится перезагрузка...
« Last Edit: November 28, 2013, 03:11:31 PM by Dima DD »

Offline sandrey005

  • Newbie
  • *
  • Posts: 1
Re: Win32: Evo-Gen
« Reply #29 on: November 28, 2013, 06:56:04 PM »
Хотелось бы высказать слова в поддержку автора- stdlib в той части, которая касается дела.
Являюсь разработчиком программ на Delphi. За 10 лет практики не сталкивался с подобной проблемой. Разрабатывал программу втечении года. На днях откомпилировал проект и обнаружил, что якобы моя программа содержит EVO-GEN. В программе сотни функций и десятки модулей, включая родные Delphi, обнаружить участок кода, делающий ложное срабатывание практически невозможно. Должно быть у проблемы массовый характер. Хотелось бы узнать кто отвечает за то, что моя программа причислена к потенциально не желательным?

По поводу ника stdlib - похоже на название библиотеки функций языка Си. Очень прискорбно слышать, что недостаток образования называется матом.