Path: csiph.com!aioe.org!.POSTED!not-for-mail
From: GbC <info@gbcdepot.com>
Newsgroups: it.comp.lang.visual-basic
Subject: Re: Prog VB6 e antivirus
Date: Mon, 21 Aug 2017 09:36:54 +0200
Organization: Aioe.org NNTP Server
Lines: 46
Message-ID: <one2im$lr0$1@gioia.aioe.org>
References: <ofpe5g$l4s$1@solani.org> <og0o8p$176o$1@gioia.aioe.org> <og1h22$18o$1@solani.org> <og3lub$9bp$1@gioia.aioe.org> <og46n2$ojt$1@solani.org> <og47o3$18t3$1@gioia.aioe.org> <og4bch$rfh$1@solani.org> <okdbictfbl2kf1032ukpud52ndgj3mviup@4ax.com> <og4k4t$1b3$1@solani.org> <onbg8g$hcf$1@solani.org>
NNTP-Posting-Host: M38j/LU21jS/f/RYkSXYEQ.user.gioia.aioe.org
Mime-Version: 1.0
Content-Type: text/plain; charset=iso-8859-15; format=flowed
Content-Transfer-Encoding: 8bit
X-Complaints-To: abuse@aioe.org
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:52.0) Gecko/20100101 Thunderbird/52.3.0
X-Notice: Filtered by postfilter v. 0.8.2
Content-Language: it
Xref: csiph.com it.comp.lang.visual-basic:19136

Il 20/08/2017 10:12, Greg ha scritto:
> Il 24/05/2017 20:41:30 Greg ha scritto:
> 
>> Sub Main()
>>    CurrH = Screen.Height / Screen.TwipsPerPixelY
>>     CurrW = Screen.Width / Screen.TwipsPerPixelX
>>     SavLog "Display", CurrW & "x" & CurrH
>>     fMain.Show
>> End Sub
> 
> Dopo uno scambio di battute con GbC sul altro ng, ho ripreso in mano 
> quel vecchio codice indigesto a qualche antivirus compreso Kaspersky, e 
> l'ho modificato in questo modo:
> 
>     h1 = Screen.Height
>     h2 = Screen.TwipsPerPixelY
>     w1 = Screen.Width
>     w2 = Screen.TwipsPerPixelX
>     --------
>     --------
>     SavLog "MNT", CStr(h2) & " " & CStr(w2) & " "
> 
> Il codice risultava infetto anche scrivendo SavLog "Diplay" o "MOnitor"
> Allora ho cambiato in SavLog "MNT" e, convinto che sia unq questione di 
> pattern o nomi di variabili sospetti, ho spostato la SavLog in avanti, 
> dopo altre due righe di codice.
> 
> Non capisco il perchè, e neanche prima, ma adesso Kasperscky non segnala 
> piu un falso positivo.
> 
> 
> 

Nessuna euristica può segnalare quelle operazioni logiche come un virus, 
perché qualsiasi programma fa quelle operazioni.

Quindi il problema (per la mia esperienza) si riduce a modificare la 
matrice di bit costituita dall'eseguibile. Questo si può fare 
modificando il codice (il flusso dei dati, il nome delle funzioni, ecc) 
o cambiando le opzioni di compilazione.

Questo una volta in più dimostra quanto sia tutto un castello di carte.

-- 
GbC
www.gbc.uno