Konuyu Oyla:
  • Derecelendirme: 5/5 - 1 oy
  • 1
  • 2
  • 3
  • 4
  • 5
VirusTotal (com) "False Positive" konusunda bir örnek
#1
Merhabalar.

- Bu durumu masaya yatırdım ki kontrol her zaman gerekli. Ancak bazı sonuçlar kafa karışıklığı yaratabiliyor.  Idea

- Şimdi size iki ekran çıktısı sunacağım bunlardan hash kodlarına dikkatinizi çekerim aynı tek dosyanı iki farklı tarihteki sorgusu. Diyebilirsiniz ki ( ben olsam ilk izlenimde bunu derdim ) daha önce virus olarak tanımlanmamış ve sonra bulunmuştur.

- Kaynak kod içerisinde küçük bir sorgu değişikliği yaptığım proje derlemesinde karşılaştım. Sadece XML kodlarının sorgusunda bir iki IF / ELSE eklemesi yapmıştım. 

- Taramada temiz çıkanı Delphi Community Edition Lisansı ile derlemiştim. Kirli çıkanı ise Delphi Enterprise Edition - ki ikisi de legal lisanslıdır altını çizeyim - İlk aklıma bu fark gelmişti. 

- Sonra eski EXE'yi buldum ve aynı eski EXE'yi VirusTotal'e yeniden gönderdim. Önce file hash'ı tanıdığından hemen ( 0 ) adet detected çıktı. Sağ üstteki REFRESH butonuna basınca tablo değişti. Aşağıdaki durum bu farkı gösteriyor.

- @Mr.Developer'a selam olsun, acaba teyit edebilir mi ? : ilk önce kendisi sormuştu ve o an derlemeyi MPRESS ile sıkıştırdığım için olduğunu değerlendirip, sıkıştırmayı kaldırıp yeniden göndermiştim. VirusTotal tablosu ( 0 ) göstermişti. O başlıktaki EXE'yi o gün ( 7 Nisan ) siz de kontrol etmiştiniz değil mi ?  Huh

- Bu arada sizler de deneyebilirsiniz, boş yeni bir Delphi projesi açıp Release veya Debug mode derlediğiniz sonucu gönderince de boş olduğu halde 1 - 4 arası başlıkta Positive Virus çıkıyor. Bunu da ekleyeyim. Bugünlerde VirusTotal'e de virüs bulaştı sanırım.. Undecided

 

alm7inhyqdiqeppt4ksm.png


n7hd2jlnnjmgglocada5.png
Saygılarımla
Muharrem ARMAN

guplouajuixjzfm15eqb.gif
Cevapla
#2
Muhtemelen ilk 8 yazılım aynı/benzer arama motoru ve/veya veri tabanını kullanıyor. İsimlendirmeden de belli.
Boş projeyi pozitif göstermesinin sebebi; Daha önce delphi ile yazılmış bir zararlı tanımlanırken bir çok standart dosya yapısı imzaya eklenmiş olabilir. Benzerlikleri yüksek olunca zaten varyantı bu yüzden belirttiğini düşünüyorum. Zaten 8 sonucun 7'i 812989 sayısını gösteriyor ki bu o zararlıya benzeyen bu kadar dosya var durumuna getiriyor. Yani ben projeye label ekleyip derlesem 812990 görünecek.
Cevapla
#3
Kesinlikle hocam ben kontrol ettim. 
Virüs Totale ne bulsam eklerim direkt. Böyle bir bilgilendirme sağladığınız için teşekkürler.
Cevapla


Konu ile Alakalı Benzer Konular
Konular Yazar Yorumlar Okunma Son Yorum
  Algoritma Nedir? Nasıl Çalışır? (Güzel bir örnek) ozcanm 3 2.133 23-10-2022, Saat: 12:27
Son Yorum: Hayati
  APK ve VirusTotal Tarama Sonuçları Mr.Developer 2 3.468 21-03-2019, Saat: 11:23
Son Yorum: Mr.Developer
  Uygulama dersi icin ornek proje sadettinpolat 7 6.651 01-03-2017, Saat: 19:33
Son Yorum: sadettinpolat



Konuyu Okuyanlar: 1 Ziyaretçi