[Techinfo] DeepGuard - Code::Blocks - Cpp

eNTi Szoft enti at entiszoft.hu
2019. Okt. 7., H, 08:37:19 CEST


Tisztelt Listatagok,
2019. 10. 06. 12:00 keltezéssel, techinfo-request at lista.sulinet.hu írta:

Zsuzsának, Zsoltnak, és mindenkinek, akinél hasonló jelenség fellép:
> Message: 1
> From: Szalayné Tahy Zsuzsa <sztzs at infokatedra.hu>
> Subject: [Techinfo] DeepGuard - Code::Blocks - Cpp
>
> az iskolai gépeken Win10-en Code::Blocks-ot használ C++ oktatásra. A
> gépeken F-Secure van. A másodfokú egyenlet megoldóképletére írt programot
> nem tudták futtatni, mert a DeepGuard letiltotta.
>
> Miért?
Itt nem a klasszikus kártevő-mintázat egyezés, hanem a kód várható 
viselkedése alapján születik meg a védelem "enged/tilt" döntése 
(heurisztikus elemzés).
A művelet pontozza a lefutni akaró kódsor "kártékonysági hajlamát". Nem 
forrás-szintről (a másodfokú egyenlet megoldásáról), hanem arról a 
végrehajtható kódsorozatról beszélünk, ami a programozás következtében 
előáll.
Az ilyen esetek hátterében tehát az áll, hogy a végső kódba a befordítás 
során olyan kódsorozat kerül, ami a heurisztika pont-rendszerét 
"tiltás"-ba billenti.

A jelenség lehet vaklárma (túl érzékeny a pontozás; a védelem-gyártó 
hatásköre), de akár valós problémára is utalhat (pl. a Code::Blocks nem 
megfelelő kód-generálása; náluk kellene eljárni, ami nem lehetetlen, ha 
a megfelelő nyomaték, pl. egy védelem-gyártó részéről érkezik visszajelzés).

Ha a pontos körülményeket (magánban) megkapom, szívesen beküldöm 
elemzésre az F-Secure Labornak. Ha a védelem túlérzékeny, állítsanak 
rajta, vagy ha igaza van, mondják meg, mi a teendő.

Kérem a kollégát, keressen meg közvetlenül: enti kukac entiszoft pont hu.


> Message: 2
> From: "Fodor Zsolt" <fodor at gyakg.u-szeged.hu>
> Subject: Re: [Techinfo] DeepGuard - Code::Blocks - Cpp
>
> Tüneti kezelés: megegyezés szerinti mappán belül kikapcsolni az 
> ellenőrzést. Mivel központilag megtehető, gyorsan megy.
Valóban, csak tüneti, időszakos kezelés egy olyan könyvtár kialakítása, 
amin nincs ellenőrzés.
Egyrészt, mert védelmi rés, másrészt, fokozottabb odafigyelést (értsd: 
kézi munkát) igénylő kivétel.

Mindkettőtől jó lenne minél hamarabb megszabadulni.
A valós megoldás az, amit fentebb írtam.
Zsolt, ha most is van ilyen esetetek, kérlek, küldj róla bejelentést, 
hogy a gyártó kivizsgálhassa.

> Ugyanaz a helyzet, ha hálózati meghajtóra / megosztásra ment, mint 
> helyben?
> Hétfőn ki tudom próbálni.
Mindkettőtöknek: minél pontosabb az esetleírás, annál gyorsabban és 
perecízebben tud reagálni a Labor - minden további infót nagyon szívesen 
vesznek és megköszönik a segítséget!

Várom a jelentkezéseteket!

Üdv:
Simon Gábor
eNTi Szoft Kft.



További információk a(z) Techinfo levelezőlistáról