Author Topic: Behaviorálny štít  (Read 4976 times)

0 Members and 1 Guest are viewing this topic.

REDACTED

  • Guest
Behaviorálny štít
« on: February 10, 2017, 10:42:13 AM »
Dobrý deň.

Pri kompilácii projektu vo Visual Studio sa na konci vždy zobrazí okno Behaviorálneho štítu.
Snažil som sa v "Nastavenia -> Súčasti -> Behaviorálny štít -> Upraviť -> Výnimky" pridať výnimku pre oblasť C:\USERS\ROMAN\APPDATA\LOCAL\TEMP\TMP*.EXEC.CMD, ktorá má byť pri teste vynechaná, ale nepomohlo to.

Ako by to malo byť, prosím, správne nastavené?

« Last Edit: February 10, 2017, 10:50:44 AM by RomBor »

REDACTED

  • Guest
Re: Behaviorálny štít
« Reply #1 on: February 14, 2017, 10:52:21 AM »
Tak som si to vyriešil sám a to tým, že som ako oblasť, ktorá sa má vynechať, nastavil C:\USERS\ROMAN\APPDATA\LOCAL\TEMP\*.
Je to síce riešenie, ale môj pôvodný zámer smeroval k tomu, aby sa z testu vyňali iba tie CMD súbory, ktoré si vytvára Visual Studio pre Post-Build-Event.
Toto moje riešenie je potenciálna diera, keďže je vyňatý z testu celý adresár.

Offline radek178

  • Jr. Member
  • **
  • Posts: 39
Re: Behaviorálny štít
« Reply #2 on: February 15, 2017, 11:49:41 AM »
To neni dobry reseni dat TEMP do vyjimek...

Offline Milos

  • Avast team
  • Super Poster
  • *
  • Posts: 2293
Re: Behaviorálny štít
« Reply #3 on: February 15, 2017, 01:00:41 PM »
Dobry den,
poslete nam, prosim, ten detekovany soubor pres https://www.avast.com/false-positive-file-form.php a pridejte tam i odkaz na toto vlakno.

Diky,
Milos

REDACTED

  • Guest
Re: Behaviorálny štít
« Reply #4 on: March 30, 2017, 01:00:02 PM »
Už pred nejakým časom som dostal email s informáciou z "False Positive" tímu, že vyššie popisovaný problém bol vyriešený, ale žiaľ, nie je to zrejme tak.
Dnes som si na to spomenul a vyhodil som z filtra Behaviorálneho štítu danú výnimku a problém s vyskakovaním chybovej správy je tu stále.
Avast sa mi nedávno aktualizoval na 17.3.2290 (build 17.3.3440.0).

Offline Milos

  • Avast team
  • Super Poster
  • *
  • Posts: 2293
Re: Behaviorálny štít
« Reply #5 on: March 30, 2017, 01:37:27 PM »
Dobry den
jste si jisty ze je to ten samy soubor? Tim myslim obsah souboru, nikoliv jmeno. Poslete detekovany soubor jako False positive, viz vyse.

Diky,
Milos

REDACTED

  • Guest
Re: Behaviorálny štít
« Reply #6 on: March 31, 2017, 10:36:52 AM »
Dobrý deň.

Obsah súboru je ten istý do tej miery, že sa v ňom môže líšiť názov toho EXE súboru, ktorý sa podpisuje.
Ako som to už posielal do "False-Positive", obsah súboru je takýto:

Code: [Select]
setlocal
set errorlevel=dummy
set errorlevel=
signtool.exe sign /options...
:VCEnd
exit %errorlevel%

kde namiesto /options... sú parametere pre podpis EXE súboru (URL timestamp-servera, cesta k EXE, cesta k certifikátu atď.).

Ak teda úplne vyhodím výnimky, tak sa hlásenie zobrazuje opäť.

Teraz som ale opäť skúsil zadať výnimku, ktorú som skúšal hneď na začiatku, teda C:\USERS\ROMAN\APPDATA\LOCAL\TEMP\TMP*.EXEC.CMD, kde je wildcard iba pre ten náhodný reťazec v mene súboru a toto mi teraz zdá sa funguje a hlásenie sa už nezobrazuje pre žiadny projekt a ani jeho výsledné EXE.

Takže suma-sumárum:
a) bez zadanej výnimky sa hlásenie zobrazuje vždy, takže pokiaľ sa obsah súboru skutočne analyzuje, tak "integrovaná výnimka" pre daný obsah nezabrala
b) wildcard v mene súboru už funguje (vtedy zjavne nefungoval)

Offline Milos

  • Avast team
  • Super Poster
  • *
  • Posts: 2293
Re: Behaviorálny štít
« Reply #7 on: March 31, 2017, 01:08:00 PM »
Dobry den,
pokud je obsah souboru jiny (staci jeden byte), tak oprava (odhaduji, ze byla provedena whitelistovanim daneho souboru) v ramci VPS nezabere. Whitelitovani funguje presne na ten samy obsah souboru.

Milos

REDACTED

  • Guest
Re: Behaviorálny štít
« Reply #8 on: March 31, 2017, 03:34:07 PM »
Nuž, pokiaľ je to tak, že sa overuje iba "hash" obsahu súboru, tak je to na nič.
Ten obsah sa môže určite zmeniť - ako v mojom prípade pri kompilácii iného projektu, kde je pochopiteľne iná cesta/meno k podpisovanému EXE súboru.

Pri odosielaní súboru do "False positive" som poslal súbor s takým obsahom, aký som tu dal minule.
Ale zároveň som aj písal, že tento CMD súbor je produktom Visual Studia pri vykonávaní Post-Build Event, kde si JA určujem ČO sa má spustiť (property Command Line) a ja tam mám utilitu signtool. Z pochopiteľných dôvodov som tam v tom súbore nechal iba /options..., keďže v parametroch sú aj citlivé údaje.
Zrejme naivne som sa domnieval, že sa vyhodnotenie tohto súboru bude robiť podľa nejakých "kľúčových slov", čím sa zistí, že je to dočasný súbor vytvorený a spustený Visual Studiom. Teda univerzálne riešenie.

Ale pre úplnosť, v Post-Build Event mám niečo takéto:
Code: [Select]
signtool.exe sign /fd SHA256 /f "$(SolutionDir)Certificate.p12" /p Password /tr http://timestamp-host.com "$(OutDir)$(ProjectName).exe"A vo všeobecnosti si do Post-Build môžem dať úplne čokoľvek, takže ten CMD bude vyzerať vždy inak a filter na Hash súboru nepomôže.

Asi je to už teraz jedno. Keďže mi zafungovali wildcard v mene súboru v definovanej výnimke, tak to už riešiť nebudem.

Ďakujem za odozvu a Váš čas.

REDACTED

  • Guest
Re: Behaviorálny štít
« Reply #9 on: April 03, 2017, 08:40:45 AM »
Tak som sa unáhlil so svojou "radosťou", že pomohol wildcard v mene inkriminovaného CMD súboru.  :(
Neviem, prečo mi to v piatok takto nehlásilo, ale dnes je to tu opäť a pomáha iba to moje pôvodné "nevhodné" riešenie s wildcard pre celý TMP adresár...  :-[

Offline ApoC

  • Avast team
  • Jr. Member
  • *
  • Posts: 29
Re: Behaviorálny štít
« Reply #10 on: April 04, 2017, 02:58:48 PM »
Dobry den,

mohl bych vas poprosit o prilozeni logu: C:\ProgramData\AVAST Software\Avast\log\idpdetection2.log pote co se vam zobrazila detekce?

Dekuji.

REDACTED

  • Guest
Re: Behaviorálny štít
« Reply #11 on: April 05, 2017, 07:52:50 AM »
Zdravím.

V prílohe máte požadovaný LOG súbor.