OneScript icon indicating copy to clipboard operation
OneScript copied to clipboard
verified publisher icon EvilBeaver

Антивирусы

Open nevermore8891 opened this issue 5 years ago • 3 comments

Kaspersky начал реагировать на oscript.exe

Проверена последняя стабильная версия 1.3.0 (х86, х64) и последняя ночная сборка от 05.05.2020

https://www.virustotal.com/gui/file/bb6a9c0efe1cf7c7023f5948eee79a1130e4b96658fcf2222bf2203073e1fae8/detection https://www.virustotal.com/gui/file/bd7b3809c596f9e035d3c44c82207fe1ef49e7900e173db0d45932725b5e9f0e/detection

nevermore8891 avatar May 06 '20 19:05 nevermore8891

Такое периодически случается, с разными антивирусами. Мы шлем образцы на анализ, и чаще производители правят сигнатуры. Понять что именно в oscript.exe не нравится антивирусам пока не удалось. Если возникают сомнения - исходники открыты, надо скачать и собрать на заведомо чистой машине, к которой есть доверие.

EvilBeaver avatar May 07 '20 08:05 EvilBeaver

И да, во всех случах срабатывания - это эвристика, а не точное попадание.

EvilBeaver avatar May 07 '20 08:05 EvilBeaver

Заметка на память: реализовать MSBuild Task который будет шифровать ресурс StandaloneRunner.exe перед компиляцией oscript.exe

https://blog.rsuter.com/implement-custom-msbuild-tasks-and-distribute-them-via-nuget/ https://habr.com/ru/post/261603/

Есть мнение, что антивирусам не нравится наличие exe-бинарника в ресурсах приложения.

Или отказаться от поставки StandaloneRunner в составе oscript.exe, что тоже неплохой вариант, большой беды не будет, если этот exe будет лежать вне модуля oscript.exe

EvilBeaver avatar May 07 '20 08:05 EvilBeaver