"Почему антивирус реагирует на программу?"
Почему антивирус реагирует на программу?
Это ложное срабатывание (false positive). Любой качественный приватный софт для обхода античитов использует техники, которые антивирусы считают подозрительными - потому что это те же самые техники, которые применяют настоящие вредоносные программы.
Срабатывание антивируса - признак того, что софт работает на низком уровне системы. Это необходимое условие для обхода современных античитов.
Чит, который не вызывает обнаружение антивируса - лучше?
Нет. Приватный софт, который не вызывает срабатывания антивирусов, либо не выполняет необходимых низкоуровневых операций (и скорее всего не работает против серьёзных античитов), либо уже находится в базе сигнатур античита.
На VirusTotal 40/72 детектов — это нормально?
Да, это абсолютно нормально. Посмотрите на названия детектов:
W64/Themida.WNWin64/Packed.Themida.QSuspicious AppGeneric.PackedUnsafe
Это не обнаружение конкретного вируса - это детекты протектора Themida, которым защищён код. Themida - это легальный коммерческий софт для защиты программ от реверс-инжиниринга. Антивирусы детектят сам факт упаковки, а не вредоносный код внутри.
Но ведь 40 детектов - это много?
Парадокс в том, что настоящие вирусы обычно имеют 0-5 детектов на VirusTotal, а не 40.
Почему? Потому что разработчики вредоносного ПО:
Специально проверяют свои файлы на VT перед распространением
Используют приватные крипторы, заточенные под обход детектов
Постоянно перекриптовывают файлы при появлении детектов
Мы же используем Themida - публичный коммерческий протектор, который известен всем антивирусам. Нам не нужно скрываться от антивирусов, нам нужно защитить код от анализа античитами. Это разные задачи.
Вывод: Высокий детект на VT с пометками "Themida/Packed/Suspicious" - это как раз признак легитимного защищённого софта, а не вируса.
Антивирусные детекты - это побочный эффект технологий, необходимых для работы на уровне ядра. Это не баг, а особенность любого серьёзного приватного софта.
Last updated