Оригинал Поиск Дополнительно Вход
ДомойОсновная Компоненты FreePascal Начинающим KOL Игры Corba Media Журнал WinAPI Сети Прочее Базы .Net
Конференция "Сети" » Подозрение программы в малваре [D6, D7, WinXP]
 
  • filin (16.12.11 16:08) [0]
    Есть программа - самопал, не мой, оболочка для работы с БД формата firebird, БД как локальная так и на внутреннем сервере. Написанная на Делфи 6-7. При старте программа лезет на внешний днс сервер, если запретить в фаерволле то программа вылетает с ошибкой, не системной, смысловой нагрузки которая не несет. Программа работает и на компьютере без подключения к интернету.
    Собственно вопросы, стандартное ли это поведение подобных программ на Делфи? Если да то почему она опрашивает днс сервер, если нет то какими функциями в Делфи обеспечивается подобное взаимодействие? Чтоб я знал что искать.
    PS: Сам я не программирую на Делфи, потому задаю подобный вопрос, чтоб не гонятся за призраками)
    Программа подозревается в сливе данных БД.
  • Anatoly Podgoretsky © (16.12.11 16:36) [1]
    > filin  (16.12.2011 16:08:00)  [0]

    Это не malware, а SpyWare
    Стандартное ПО называется антивирус, но оно работает после определения, что
    это xxxWare

    > лезет на внешний днс сервер

    Может это просто hard Coded
  • Anatoly Podgoretsky © (16.12.11 16:37) [2]
    > filin  (16.12.2011 16:08:00)  [0]

    А чего бросился на неизвестный самопал, любитель экстрима?
  • Сергей М. © (16.12.11 16:45) [3]

    > стандартное ли это поведение подобных программ на Делфи?


    Смотря что считать "подобием".
  • Rouse_ © (16.12.11 17:47) [4]
    Ну например она может хотеть проверить наличие новой версии себя самой...
  • filin (16.12.11 20:28) [5]
    Anatoly Podgoretsky
    Мальварь - это вредоносная программа, а вред бывает разным. так что предпочитаю использовать этот термин как общее понятие.
    Непонял фразу про стандартное ПО, на вирустотале прогонял, файл чист, плюс никак не закриптован.
    Что значит бросился? Разработчики давно хз где, так что приходится работать с тем что есть, владельцу программы ненравится что программа куда то просится т.к. бд крупной фирмы.
    Сергей М.
    Под подобными я подразумеваю работающими с сетью и бд, насколько я знаю Делфи не использует стандартные апи виндовса, потому незнаю как ведут себя его родные.
    Rouse_
    Для этого есть отдельный модуль, это не то.
  • FireMan_Alexey © (16.12.11 23:15) [6]
    Может она просто GetHostByName делает...
    Так у меня Каспер всегда спрашивает, разрешать или запрещать... ;)
    А запрос на ДНС сервер делает, тот что у тебя прописан в установках сетевых!
    Может я чего не до понял?
    Тогда звыняйте! ;)
  • Rouse_ © (17.12.11 00:07) [7]

    > filin   (16.12.11 20:28) [5]
    > Rouse_
    > Для этого есть отдельный модуль, это не то.

    Хм, я так предполагаю, что это что-то с именем update? Даже я не умею так быстро диагноз ставить.

    Ну а теперь по пунктам:
    1. детектить MS по факту выхода в инет неверно (причину я уже описал)
    2. "Программа подозревается в сливе данных БД."
    Кто этот эксперт, подозревающий подозрительную программу в подозрительных действиях?
    Чтобы не гонятся за призраками, необходим съем трафика с соединения и его анализ. Все остальное "бабкины гадания"...
  • Rouse_ © (17.12.11 02:10) [8]
    ЗЫ: (чей-то пропустил)

    > насколько я знаю Делфи не использует стандартные апи виндовса

    Судя по фразе Вы очевидно не программист.
    Теперь понятны фразы и по поводу: "стандартное ли это поведение подобных программ на Делфи"

    Могу произвести инспект вашего подозрительного ПО на предмет легитимности доступа к сети.
    Мыло в профиле, сумма 750 евро, гарантия того что не кину - ну в принципе весь этот форум :)
  • filin (17.12.11 10:08) [9]

    > Судя по фразе Вы очевидно не программист. Теперь понятны
    > фразы и по поводу: "стандартное ли это поведение подобных
    > программ на Делфи"

    =) Имелось ввиду что обычно как основной иснтрумент используют VCL Делфей, возможно грубовато выразился, но думал буду понят.
    По поводу стандартности опять же ... хотя ладно, запуск на вирт машине и анализ Wireshark ом, не показал ничего подозрительного,просмотр процедур в DeDe также, надо будет выловить только переход на ошибку при ерроре, так что всем спасибо видимо и правда просто особенности работы.
    PS: 750 евро? Вы серьезно?)
  • sniknik © (17.12.11 13:16) [10]
    > что обычно как основной иснтрумент используют VCL Делфей,
    обычно да, и но весь "пронизан" "стандартным апи виндовса", вот если бы "нестандартный" CLX...

    > но думал буду понят.
    понимают обычно то, что написано, а не то что подразумевает пишущий.
  • Rouse_ © (17.12.11 19:25) [11]

    > PS: 750 евро? Вы серьезно?)

    Ну а вдруг прокатит? :)
  • Плохиш © (18.12.11 00:23) [12]

    > Rouse_ ©   (17.12.11 02:10) [8]


    > сумма 750 евро

    Ты, эта, демпфингом не занимайся, да...
  • Очень злой (05.01.12 00:26) [13]

    > При старте программа лезет на внешний днс сервер


    Ну лезть на ДНС вроде как не вредоносное занятие...
    Проверь, что оно ищет на ДНСе и куда потом будет пытаться лезть.
    А тогда уже и сделаешь выводы о вредоносности/невредоносности программы...
  • Омлет © (05.01.12 10:00) [14]

    > программа вылетает с ошибкой, не системной, смысловой нагрузки
    > которая не несет
    > ...
    > стандартное ли это поведение подобных программ на Делфи?

    Нет. Это ошибка в программе.
    Кстати, текст ошибки неплохо бы привести.
 
Конференция "Сети" » Подозрение программы в малваре [D6, D7, WinXP]
ДомойОсновная Компоненты FreePascal Начинающим KOL Игры Corba Media Журнал WinAPI Сети Прочее Базы .Net
Есть новые Нет новых   [134435   +18][b:0][p:0]