В состав дистрибутива HiAsm входит файл Hook.dll, причем, этот файл присутствует в двух расположениях и в двух несколько разных "обличиях":

1. В корне дистрибутива:
Hook.dll 3 072 байт 9 мая 2005 г.

2. В папке HiAsmPlug:
Hook.dll 3 072 байт 12 мая 2005 г.
- эта версия файла появилась на 3 дня позже "исходной" версии.

Но отличия на этом не заканчиваются:
- при одинаковом размере файлы имеют различия в коде: 63 байта одного файла отличаются от другого;
- файл из папки Plug при проверке на антивирусном ON-LINE-сервисе http://www.virustotal.com (проверка файлов на движках 36 антивирусов) показал неважный результат - 12 антивирусов показали подозрение на наличие в файле вредоносного кода:
__________________________________________________________________________
Антивирус Версия Обновление Результат
__________________________________________________________________________
AntiVir 7.8.1.19 2008.08.14 TR/Spy.Agent.cad
Avast 4.8.1195.0 2008.08.14 Win32:Spyware-gen
CAT-QuickHeal 9.50 2008.08.14 TrojanSpy.Agent.cad
ClamAV 0.93.1 2008.08.14 Trojan.Spy-31865
GData 2.0.7306.1023 2008.08.15 Win32:Spyware-gen
Ikarus T3.1.1.34.0 2008.08.15 Trojan-Spy.Win32.Agent.cad
Prevx1 V2 2008.08.15 Malicious Software
Sophos 4.32.0 2008.08.15 Mal/Generic-A
Sunbelt 3.1.1542.1 2008.08.13 Trojan.Spy.Agent.cad
TheHacker 6.3.0.3.046 2008.08.13 Trojan/Spy.Agent.cad
VBA32 3.12.8.3 2008.08.14 Trojan-Spy.Win32.Agent.cad
Webwasher-Gateway 6.6.2 2008.08.14 Trojan.Spy.Agent.cad
__________________________________________________________________________

Учитывая дату создания файла (2005 год) и то, что я давно уже не бывал на сайте HiAsm, возможно, что эта ситуация обсуждалась на сайте ранее - тогда я был бы признателен за ссылку на такое обсуждение.

Все что сделано на hiasm ( почти все) антивирусы считают вирусов, например Doctor.Web Trojan.webmoney, жаль конечно, наверное этот hook.dll попадает как RiskSoftware

В файле hook.dll от 12 мая - исполняемых кодов всего 132 байта
Вот их дизасм
Можете отправить это всем 12 антивирусам, чтобы показали пальцем на вредоносные байты

а антивирусы то Г полное! нашол чем сканить.

to Galkov

"Можете отправить это всем 12 антивирусам..."

Отправить этот файл имеет смысл не "12 антивирусам", а специалистам на http://virusinfo.info/ - на исследование кода, толку будет больше и быстрее - что я, пожалуй, и сделаю.

"исполняемых кодов всего 132 байта"
Мне известны примеры инжекта в файлы всего 8 байт кода - и файерволл становится "прозрачным".

А вообще вопрос по сути: действительно ли дистрибутиву необходимо наличие этих двух версий файла Hook.dll - либо это просто недосмотр/недоразумение?
Если кто-то в курсе - просветите, пожалуйста -> дистрибутив HiAsm - это достаточно серьёзно (учитывая всё возрастающий интерес пользователей к этому проекту)!

Всем спасибо за внимание к теме!

vau_HI, hook.dll используется для перехвата нажатий клавиш одним из компонентов. Этим же методом пользуются и вирусописатели для перехвата паролей, поэтому некоторые легивые производители антивирусов считают, что если программа/библиотека перехватывает нажатия клавиш, то это бяка, надо показать покупателю, как хорошо они его защищают.

hook.dll из корня дистрибутива исключил, plughook.dll зашифровал и добавил его инсталяцию(с расшифровкой) в папку Windows при выполнение процедуры интеграции. Кроме того перед сохранением файла на диск выдается сообщение с предупреждением о срабатывание антивирусной защиты. Думаю это решит проблему.

К сожалению это не решит проблему при использовании программ с применением hook

Валерий, +1. Тоже касается элементов, использующих другие dll или драйвера, о необхотимости которых автор порой узнаёт, только когда впервые ставит прогу на другую машину (например на целевую - очень неприятно слышать " якый жэ ты лыцарь..").
Вот если бы среда/элемент так повлияли на компиляцию, что все дрова/dll-ки учлись бы должным образом.. Но это вопрос к специалистам..

Андрей., в качестве совета на будущее: разработчик, который делает программы для кого-то обязан проверить свое творение на чистой ОС, поддержка которой(ых) заявлена у него в описание. Именно на этом этапе как раз и выясняются все ошибки подобного рода: нехватка библиотек или драйверов, отсутсвие сервисов или COM объектов, наличие абсолютных путей, не совпадающих с путями на машине пользователя и т.д. и т.п. Если же говорить конкретно о драйверах, то подобная информация должна помещаться в Help. Взваливать же все это на среду - явный перебор.

to iarspider

"hook.dll используется для перехвата нажатий клавиш..."

Мне известно назначение файла hook.dll, но всё равно спасибо. С термином "кейлоггер" я тоже знаком.
Кстати, году эдак в 2006-м файл (-ы) hook.dll не входил в дистрибутив HiAsm, а использовался в одном из элементов, размещённых в разделе "Upload" сайта. В те времена я использовал этот элемент и тогда ещё обратил внимание на интерес к файлу hook.dll антивируса того времени (какого именно - не вспомню).
Однако, элементы, размещаемые в разделе "Upload", были предназначены для использования "на свой страх и риск", а сейчас речь идет о дистрибутиве программы - ему негоже выказывать признаки "нестерильности" (даже выявляемые на уровне эвристического анализа антивирусных продуктов, не говоря уже о всё возрастающем функционале HIPS-защиты, которая всё чаще встраивается в системы безопасности сторонних производителей) - ИМХО.

to Dilma

"hook.dll из корня дистрибутива исключил... Думаю это решит проблему."

Спасибо за понимание проблемы и оперативную реакцию!
Кстати, в "сообщение с предупреждением о срабатывании антивирусной защиты" имеет смысл добавить рекомендацию о включении файла в "исключения" антивирусного продукта - большинство приличных программ предусматривают такую возможность.
Ну а проверка созданного приложения на "чужой" машине - это же СВЯТОЕ ДЕЛО, так что: сделаем-проверим-посмотрим - надеюсь, что проблема будет решена - так или иначе.

Признаков нестерильности НЕТ.
Если есть - давайте доказательство, а не понты каких-то антивирей
Использование WinApi из USER32 не является криминалом
Ни один антивирь на будет утверждать об отсутствие ложных срабатываний. Не говоря уже о том, что большая их часть - этим просто злоупотребляет.

Не надо, пожалуйста учить жизни, про гоже или нет.
Да, это проблема. И далеко не только для HiAsm, и не им сделанная.
И исключение чего-то откуда-то - не решает НИЧЕГО
Вот и попробуйте ей заняться на форумах антивирей - что-то не слышал я до сих пор про такие обсуждения


DIXI, именно таково мнение "Великого Галкова", если хотите

to Galkov

"понты каких-то антивирей..."
"Ни один антивирь на будет утверждать об отсутствие ложных срабатываний. Не говоря уже о том, что большая их часть - этим просто злоупотребляет."

Вот уж не думал, что небольшая частная проблема окажется для Вас настолько болезненной.

Ложные срабатывания неизбежны для многих средств защиты системы класса "Антивирус" на современном этапе их развития - Америку здесь Вы не открыли. Насчёт "большая их часть - этим просто злоупотребляет" - можно было бы в этом месте перенять Ваш стиль общения и так же заявить: "Если есть - давайте доказательство, а не понты..." - но этим заниматься мы не будем (я надеюсь).

По поводу "нестерильности": ВСЁ ОСТАЛЬНОЕ содержимое дистрибутива HiAsm успешно и без проблем ПРОХОДИТ эту проверку - даже при наличии "понтов каких-то антивирей" - кроме ОДНОГО файла. Если Вам этот факт безразличен - это Ваш выбор позиции и Ваше право объявить проблему несуществующей.
Особенность ситуации Вы же сами, кстати, и прояснили: на компьютерах реальных пользователей программы HiAsm стоЯт те самые "антивири" с их "понтами" - как раз они-то и поднимут звон уже при инсталляции программы. И мне совсем не кажется, что подобный факт пойдет на пользу как нервной системе реального пользователя, так и статусу самой программы.

"Не надо, пожалуйста учить жизни"
Уверяю Вас: и в мыслях не было - у меня есть масса других дел!

"Да, это проблема. И далеко не только для HiAsm"
Я думаю, что здесь Вы несколько заблуждаетесь: большинство сегодняшних (приличных) AV даже эвристический детект выполняют достаточно корректно, и срабатывание уже на этапе распаковки дистрибутива программы - ОЧЕНЬ большая редкость (основываюсь на своей практике, естественно - многолетней - при этом).

"И исключение чего-то откуда-то - не решает НИЧЕГО".
Как раз наоборот - РЕШАЕТ многое, и очень часто. Именно на принципе исключений строится значительная часть правил файерволов (например), а также корректная настройка средств контроля загрузки системы (опять же как пример).

"Вот и попробуйте ей заняться на форумах антивирей..."
А вот здесь мне вспоминается поговорка: "Не говорите, что мне делать - и я не скажу, куда Вам следует идти". Не принимайте, пожалуйста, на свой счет: это называется "юмор"!

"...что-то не слышал я до сих пор про такие обсуждения"
Это меня не удивляет: "Никто не может объять необъятное".

"мнение "Великого Галкова"
К сожалению, оно ничего не изменило - в контексте данной темы.
В отличие от мнения и подхода к данной теме Dilma (который без всяких "Великих").

Собственно, здесь, на форуме программы HiAsm Вы ("Великий Галков") - Админ, а я - лишь гость, и не скажу, что отношение к гостям в Вашем стиле привело меня в восторг.

Приведенный мной код является доказательством, а не понтами.
Именно доказательством, даже если этого кто-то не понимает.
Можно было бы и действительно перенять мой стиль общения.
И тогда Вам пришлось бы сначала начать понимать происходящее, а потом это обсуждать
Сегодня понимать то, о чем говоришь, действительно - не очень модно.



А я думаю, что - НЕТ.
И опираюсь не на красивые слова, а на результаты поиска в инете, например, по словам "антивири верещат" (слово "верещат" говорит само за себя)
И на то, что помню ВСЕ обсуждения на данном форуме этих проблем. И далеко не все они были связаны с hook.dll
У меня есть основания, и эти основания не являются понтами. Они являются знанием проблемы
А Ваши - мне неизвестны. Уже сказанное Вами, отнести к таковым - нельзя.
------------ Дoбавленo:


Такие мероприятия называются косвенным признанием вины, между прочим
Особенно - "с расшифровкой", и особенно - "в папку Windows"

Доказать чего-то кому-то ПОСЛЕ таки срабатывания защиты - маловероятно

не забыть бы, а то на чистой ОС интеграцию хиасма не проведёшь..