(26-05-2023, 06:28 PM)knoami كتب : و هذا هو الرابط الخاص بموقع VirusTotal و الذي يبين أن الأضافة عبارة عن فيروس من نوع Trojan
لا يمكن الاعتماد على هذا الموقع في تحديد احتمالية كون ملف تنفيذي ملغم, يظهر العديد من التقارير الخاطئة, مثلا مرة برمجت مكتبة d3d8 proxy تقوم بتغييرات طفيفة في ذاكرة لعبة واظهار واجهة رسومية باستخدام Visual C++, الحقت ملفات خطوط TTF ك Resources, كان هناك 7 مضادات فيروسات تبلغ على ان المكتبة فيروس من بينهم مضاد مايكروسوفت, بعد ازالتي لملفات الخطوط, أصبح 4 مضادات, بعد ضغطي للمكتبة باستخدام UPX أصبح 3.
مرة نزلت نسخة IDA Pro لا تحتاج الى تثبيت (بدون installer) وجاهزة للاستخدام المباشر, رافع تلك النسخة قام بارفاق رابط تقرير VirusTotal لكل ملف يحويه الأشريف, جميع التقارير كانت سليمة 100%(أمر غير مألوف) وبعد فتح ida.exe أصبح يظهر لي في ادارة المهام استخدام وحدة المعالجة 90% rundll.exe فبدا وكانه ملغم.
الأمر الغير مألوف والذي لا أفهمه في مضادات الفيروسات هو فحصها للملف, البعض يقوم بكتابة قفزات واستدعائات واضافة حمايات لتصعيب توقع سلوك البرنامج (يصبح برنامج غير مألوف) ثم مضادات الفيروسات لا تبلغ عنه.
لكن مرات عندما يكون ملف امن وبدون اي حماية(مثل المكتبة فوق) ومن مصدر غير معروف تصبح بعض المضادات تخطر منه.