Как обойти НОД (опознаёт программу, как троян)

@Xander Bass · Регистрация: 22.02.2009

Студворк — интернет-сервис помощи студентам

Итак дана функция:

Delphi
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
function GetInetFile(const fileURL, FileName: String): boolean;
const
  BufferSize = 1024;
var
  hSession, hURL: HInternet;
  Buffer: array[1..BufferSize] of Byte;
  BufferLen: DWORD;
  f: File;
  sAppName: string;
begin
  Result:=False;
  sAppName:=ExtractFileName(Application.ExeName);
  hSession:=InternetOpen(PChar(sAppName),INTERNET_OPEN_TYPE_PRECONFIG,nil,nil,0);
  try
    hURL:=InternetOpenURL(hSession,PChar(fileURL),nil,0,0,0);
    try
      AssignFile(f, FileName);
      Rewrite(f,1);
      repeat
        InternetReadFile(hURL,@Buffer,SizeOf(Buffer),BufferLen);
        BlockWrite(f,Buffer,BufferLen)
      until BufferLen = 0;
      CloseFile(f);
      Result:=True;
    finally
    InternetCloseHandle(hURL)
    end
  finally
  InternetCloseHandle(hSession)
  end
end;

При попытке скомпилировать программу с этой функцией антивирус NOD не даёт создать EXE-файл. Он опознаёт программу, как возможный trojan-downloader. Теперь задачка: что нужно изменить в функции, чтобы НОД её игнорировал. Сразу скажу: вариант отключить антивирус не катит, ибо на нём стоит пароль, который знает только главный админ, а до него (админа) достучаться невозможно.

@Puporev · 22.09.2010, 08:11

Сообщение от Xander_Bass

что нужно изменить в функции, чтобы НОД её игнорировал.

Не писать всякую дрянь. Ибо когда ищут обходы антивирусов, то именно дрянью и пытаются заниматься. Если вы меня не переубедите, тему удалю и накажу.

@Xander Bass · 22.09.2010, 08:52 **[ТС]**

Сообщение от Puporev

Если вы меня не переубедите, тему удалю и накажу.

Не вопрос

Вот полный исходник того, что я пишу.

Delphi
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
unit MainForm;
 
interface
 
uses
  Windows, Messages, SysUtils, Variants, Classes, Graphics, Controls, Forms,
  Dialogs, ExtCtrls, StdCtrls, WinInet, URLMon, ShellAPI;
 
type
  TEXPDownLoadWin = class(TForm)
    ed_adress: TEdit;
    btn_load: TButton;
    ind_status: TShape;
    btn_folder: TButton;
    ed_name: TEdit;
    lbl_from: TLabel;
    lbl_to: TLabel;
    procedure ed_adressChange(Sender: TObject);
    procedure btn_folderClick(Sender: TObject);
    procedure btn_loadClick(Sender: TObject);
    procedure FormCreate(Sender: TObject);
  private
    rFolder: string;
    rAdress: string;
    { Private declarations }
  public
    { Public declarations }
  end;
 
var
  EXPDownLoadWin: TEXPDownLoadWin;
 
implementation
 
{$R *.dfm}
 
procedure TEXPDownLoadWin.ed_adressChange(Sender: TObject);
begin
  rAdress:=ed_adress.Text;
  ind_status.Brush.Color:=clGray
end;
 
procedure TEXPDownLoadWin.btn_folderClick(Sender: TObject);
begin
  ;
end;
 
function GetInetFile(const fileURL, FileName: String): boolean;
const
  BufferSize = 1024;
var
  hSession, hURL: HInternet;
  Buffer: array[1..BufferSize] of Byte;
  BufferLen: DWORD;
  f: File;
  sAppName: string;
begin
  Result:=False;
  sAppName:=ExtractFileName(Application.ExeName);
  hSession:=InternetOpen(PChar(sAppName),INTERNET_OPEN_TYPE_PRECONFIG,nil,nil,0);
  try
    hURL:=InternetOpenURL(hSession,PChar(fileURL),nil,0,0,0);
    try
      AssignFile(f, FileName);
      Rewrite(f,1);
      repeat
        InternetReadFile(hURL,@Buffer,SizeOf(Buffer),BufferLen);
        BlockWrite(f,Buffer,BufferLen)
      until BufferLen = 0;
      CloseFile(f);
      Result:=True;
    finally
    InternetCloseHandle(hURL)
    end
  finally
  InternetCloseHandle(hSession)
  end
end;
 
function DownloadFile(SourceFile, DestFile: string): Boolean; 
begin 
  try 
    Result := UrlDownloadToFile(nil, PChar(SourceFile), PChar(DestFile), 0, nil) = 0; 
  except 
    Result := False; 
  end; 
end; 
 
procedure TEXPDownLoadWin.btn_loadClick(Sender: TObject);
var
  s: string;
begin
  if ed_name.Text = '' then s:='Untitled.dlex' else s:=ed_name.Text;
  if GetInetFile(rAdress,rFolder+'\'+s) then
  begin
    ind_status.Brush.Color:=clLime
  end
  else
  begin
    ind_status.Brush.Color:=clRed
  end
end;
 
procedure TEXPDownLoadWin.FormCreate(Sender: TObject);
begin
  rFolder:='DL'
end;
 
end.

Собственно назначение программы - скачать указанный в строке ввода файл в указанное в другой строке ввода место. Код процедуры был взят... не помню точно откуда

Особо опасных инструкций я там не нашёл.

Вирусописательством (если вы об этом) не занимаюсь!!! Кстати, приложение визуальное, что нетипично для вирусов

Тем более, что основная моя специфика - это IT-безопасность.

Добавлено через 4 минуты
По идее программа в конечном должна скачивать особый тип файлов, нужных для обновления одной из программ (если надо, в личку напишу назначение - продукт предполагается коммерческий, так что чтобы никто больше не узнал). Сам файл по идее является XML-файлом особого синтаксиса, где содержится структура обновлений.

@Puporev · 22.09.2010, 08:55

Тогда странно. Я несколько лет пользуюсь НОД32 и не помню ложных срабатываний в отличие от других антивирусов.

Сообщение от Xander_Bass

приложение визуальное, что нетипично для вирусов

Это так, но для всяких пакостей в виде так называемых шуток, весьма типично, сам получал.
Но думаю у вас действительно все в норме. Ищите проблему, может в поддержку НОД написать?

@Xander Bass · 22.09.2010, 09:14 **[ТС]**

Сообщение от Puporev

сам получал.

Я на подобные пакости наталкивался на совершенно безобидных сайтах а-ля "DelphiWorld". Автор заявляет, мол, такая-то программа, а запускаешь и кроме "такой-то матери" ничего на ум не приходит.

Сообщение от Puporev

Ищите проблему, может в поддержку НОД написать?

Суть проблемы и так ясна. Антивирь опознаёт код процедуры, как сигнатуру трояна. Так что скорее всего надо что-то в процедуре изменить. Впрочем за совет спасибо. Единственная проблема, что НОД нелицензионный. Так что писать в поддержку, ИМХО, глупо.

Добавлено через 6 минут
Кстати, в ТП НОДа писать не имеет смысла и по другой причине, ибо я примерно знаю что они ответят. Они скажут, мол, добавляй приложение в исключения. А добавить не могу ибо см.выше о пароле на НОД.

@igoriy · 22.09.2010, 09:48

да выключай его на время работы программы.У меня было то же интересное явление с касперским.
Когда работал в delphi 7 при запуске из под оболочки он любой код воспринимал как вирус.Лазил по форумам - ничего не помогло - приходилось выключать пока на десятку не перешел

@Puporev · 22.09.2010, 09:55

Аналогично у меня было с Авастом. Он почти все екзешники на Паскале за вирусы принимал, приходилось отключать. Но с Нод такого еще не было. Единственно, когда Делфи заразилась induc.

@anonimus · 22.09.2010, 10:16

dr. web негодяй тоже ругается бывает на безобидные строки, ему очень не нравится функция GetCursorPos )))

@Xander Bass · 22.09.2010, 10:46 **[ТС]**

Сообщение от igoriy

да выключай его на время работы программы

И рад бы, но смотри выше (про пароль).

@Puporev · 22.09.2010, 10:48

Не по теме:

Сообщение от anonimus

ему очень не нравится функция GetCursorPos )))

А как же, указание не согласованное с вебом!

@FeLDM@RSh@L · 22.09.2010, 12:27

У меня один раз похожая проблемма была. Расскажу что я в прошлый раз делал (сразу скажу что у меня все нормально стало):

1)Выяснил, какая процедура распознается вирусом(поочередня заремаривал каждую)
2)Когда выяснил, нужно было просто изменить последовательность скомпилированного кода, для этого (не знаю что именно помогла): изменил типы данных в используемой функции, перетащил фнкцию в другое ЛОГИЧЕСКОЕ место(в отдельный модуль) ну и соответственно все ссылки пришлося поменять, в самой функции стал использовать некоторые(медленно работающие) стандартные процедуры.

@Xander Bass · 17.12.2010, 23:07 **[ТС]**

Сообщение от anonimus

ему очень не нравится функция GetCursorPos

Кстати, только сейчас стало актуальным совсем недавно поставили ДырВеб. Так что спасибо за информацию.

Новые блоги и статьи Все статьи Все блоги /
PhpStorm 2025.3: WSL Terminal всегда стартует в ~ and_y87 14.12.2025 PhpStorm 2025. 3: WSL Terminal всегда стартует в ~ (home), игнорируя директорию проекта Симптом: После обновления до PhpStorm 2025. 3 встроенный терминал WSL открывается в домашней директории. . .	Access VikBal 11.12.2025 Помогите пожалуйста !! Как объединить 2 одинаковые БД Access с разными данными.	Новый ноутбук volvo 07.12.2025 Всем привет. По скидке в "черную пятницу" взял себе новый ноутбук Lenovo ThinkBook 16 G7 на Амазоне: Ryzen 5 7533HS 64 Gb DDR5 1Tb NVMe 16" Full HD Display Win11 Pro	Музыка, написанная Искусственным Интеллектом volvo 04.12.2025 Всем привет. Некоторое время назад меня заинтересовало, что уже умеет ИИ в плане написания музыки для песен, и, собственно, исполнения этих самых песен. Стихов у нас много, уже вышли 4 книги, еще 3. . .	От async/await к виртуальным потокам в Python IndentationError 23.11.2025 Армин Ронахер поставил под сомнение async/ await. Создатель Flask заявляет: цветные функции - провал, виртуальные потоки - решение. Не threading-динозавры, а новое поколение лёгких потоков. Откат?. . .
Поиск "дружественных имён" СОМ портов Argus19 22.11.2025 Поиск "дружественных имён" СОМ портов На странице: https:/ / norseev. ru/ 2018/ 01/ 04/ comportlist_windows/ нашёл схожую тему. Там приведён код на С++, который показывает только имена СОМ портов, типа,. . .	Сколько Государство потратило денег на меня, обеспечивая инсулином. Programma_Boinc 20.11.2025 Сколько Государство потратило денег на меня, обеспечивая инсулином. Вот решила сделать интересный приблизительный подсчет, сколько государство потратило на меня денег на покупку инсулинов. . . .	Ломающие изменения в C#.NStar Alpha Etyuhibosecyu 20.11.2025 Уже можно не только тестировать, но и пользоваться C#. NStar - писать оконные приложения, содержащие надписи, кнопки, текстовые поля и даже изображения, например, моя игра "Три в ряд" написана на этом. . .	Мысли в слух kumehtar 18.11.2025 Кстати, совсем недавно имел разговор на тему медитаций с людьми. И обнаружил, что они вообще не понимают что такое медитация и зачем она нужна. Самые базовые вещи. Для них это - когда просто люди. . .	Создание Single Page Application на фреймах krapotkin 16.11.2025 Статья исключительно для начинающих. Подходы оригинальностью не блещут. В век Веб все очень привыкли к дизайну Single-Page-Application . Быстренько разберем подход "на фреймах". Мы делаем одну. . .

@igoriy 873 / 544 / 117 Регистрация: 24.11.2009 Сообщений: 1,329
	22.09.2010, 09:48
	да выключай его на время работы программы.У меня было то же интересное явление с касперским. Когда работал в delphi 7 при запуске из под оболочки он любой код воспринимал как вирус.Лазил по форумам - ничего не помогло - приходилось выключать пока на десятку не перешел 0

@Puporev Почетный модератор 64314 / 47610 / 32743 Регистрация: 18.05.2008 Сообщений: 115,168
	22.09.2010, 09:55
	Аналогично у меня было с Авастом. Он почти все екзешники на Паскале за вирусы принимал, приходилось отключать. Но с Нод такого еще не было. Единственно, когда Делфи заразилась induc. 0

@anonimus 2184 / 1255 / 143 Регистрация: 28.04.2010 Сообщений: 4,592
	22.09.2010, 10:16
	dr. web негодяй тоже ругается бывает на безобидные строки, ему очень не нравится функция GetCursorPos ))) 0

@FeLDM@RSh@L Брюс Всемогущий 36 / 36 / 1 Регистрация: 02.09.2008 Сообщений: 256
	22.09.2010, 12:27
	У меня один раз похожая проблемма была. Расскажу что я в прошлый раз делал (сразу скажу что у меня все нормально стало): 1)Выяснил, какая процедура распознается вирусом(поочередня заремаривал каждую) 2)Когда выяснил, нужно было просто изменить последовательность скомпилированного кода, для этого (не знаю что именно помогла): изменил типы данных в используемой функции, перетащил фнкцию в другое ЛОГИЧЕСКОЕ место(в отдельный модуль) ну и соответственно все ссылки пришлося поменять, в самой функции стал использовать некоторые(медленно работающие) стандартные процедуры. 1