Beiträge von Professor Bernd
-
-
Seit 2006! Wow! Das bestätigt die Annahme, dass die AVs seit damals die falsche Positiv-Erkennung nicht geändert haben. Warscheinlich schon länger (AutoIt2).
Im EN Thread postet "Eishokeyfan":
Before you compile the script you should work with #Pragmas, then Windows Defender is silent. Problem solved ...
Ist da was dran?
-
Musashi Vielen Dank für die Richtigstellung.
Andy Schade dass du dich nicht erklärst.
Bitnugger Vielen Dank für den Link!
Auszug aus dem verlinkten Text:
ZitatThe most common cause is an AntiVirus engine has found a set of instructions in an AutoIt EXE and deemed it malicious, took the general signature of the file, and has now flagged all (or most) AutoIt EXE's.
- - -
Die häufigste Ursache ist, dass eine AntiVirus-Engine eine Reihe von Anweisungen in einer AutoIt EXE gefunden und für bösartig befunden hat, die allgemeine Signatur der Datei übernommen hat und nun alle (oder die meisten) AutoIt EXE's markiert hat.
Genau darum geht es. Eine pauschale Verurteilung aller AutoIt Programme als böse. Liebe AV-Hersteller, die Erde ist KEINE flache Scheibe, Dinosaurier sind ausgestorben, "Neger"/Sklaven gibt es nicht mehr. Bringt euch mal auf den neuesten Stand! Das einzig Böse seid Ihr! (Naja, und Politiker, und Banker, und GEZ, und ...)
-
Der Anspruch, eine AV-Software dürfe nur 'echte' Viren erkennen ist also ähnlich sinnhaft, wie sich mit Nutella die Zähne zu putzen .
Ich weiß jetzt nicht, wer das ursprünglich so verdreht hat, aber hier ging es nicht darum, eine AV-Software dürfe nur 'echte' Viren erkennen, sondern darum, dass AutoIt Scripts grundsätzlich als Bedrohung zu diskriminieren, auf uralten, seit Jahren bekannten, nicht mehr gültigen Bewertungen beruhen. Es geht darum, dass es seit Jahren bekannt ist, dass es Fehlalarme sind. Ich weiß auch gar nicht, ob es überhaupt die Heuristik ist, die Dateien löscht. Denn die Fehlalarme besagen nicht, dass die Heuristik eine Bedrohung vermutet,sondern die Malware-Erkennung sagt, dass es einen Trojaner identifiziert hat, und nennt einen genauen Namen! Wie kann das denn sein, wenn kein Trojaner da ist!? Die AVs haben Bugs. Jeder von uns würde in seinem Programm einen Bug beseitigen, sobald er davon erfährt. Spätestens beim siebenundzwölzigsten Hinweis von einem User! Es geht nicht darum, nur echte Viren zu erkennen. Es geht darum, den Bug zu beseitigen, der AutoIt Dateien löscht!
-
Es tut mir furchtbar leid, aber ich sehe hier nur, dass du Fehler, Mängel und Lücken aufzeigst, aber keine Lösung. Klar, du brauchst keine Lösung zu zeigen, aber deine Retorik liest sich so, als ob du dich über den Problemen stehend darstellen willst. Entschuldige, wenn ich mich irre, es ist nicht beleidigend gemeint. Deshalb sage ich auch ausdrücklich, dass das nur mein Eindruck ist.
Naja, ich sehe die Problematik der "Programmierer" nicht!
ICH zumindest habe kein Problem mit aktuellen Virenscannern.
Das hört sich für mich an, als ob du eine Lösung für unser angesprochenes AV Problem hättest.
Wenn jemand sich beschwert, dass ein "Virenscanner" einfach ungefragt Programme löscht, dann ist das heuchlerisch. Denn GENAU DAS erwarte ich von einem AV-Programm!
Das ist ja interessant! Du findest uns also heuchlerisch! Ich kann nichts heuchlerisches daran finden, wenn wir als User ein AV erwarten, das den User NICHT entmündigt. Ich bin der Meinung, die Entscheidungen auf meinem Computer habe ich zu treffen. Daran kann ich nichts heuchlerisch finden.
Nach dem Motto:"Wasch mich, aber mach mich nicht nass!" soll AV-Software nur "richtige" Viren erkennen
Wie schon gesagt, deiner Retorik kann ich nicht ganz folgen. Ein AV soll nur richtige Viren erkennt. Wo ist denn da der Bezug zu "Wasch mich, aber mach mich nicht nass!"? Ist es denn nicht vielmehr die eigentliche Aufgabe des AV, Viren zu erkennen?
Dein Beitrag liest sich für mich recht kontrovers und ich verstehe leider nicht, was du letztendlich sagen willst. Einerseits sagst du:
In den letzten 40 Jahren mit teilweise intensivstem Kundenkontakt habe ich eins gelernt: Anwenderverhalten ist nicht zu ändern!
Andererseits sagst du:
Wenn sich bei mir einer beschwert, dass sein Script aufgrund AV nicht mehr funktioniert, dann frag ich ihn, wieso er dieses AV-Programm überhaupt einsetzt. Allein die Beantwortung dieser Frage zwingt den Anwender nämlich, über SEIN EIGENES VERHALTEN nachzudenken!
Ehrlich, ich verstehs nicht. Wenn du doch gelernt hast, dass Anwenderverhalten nicht zu ändern ist, warum zwingst du denn dann den Anwender, über SEIN EIGENES VERHALTEN nachzudenken? Willst du damit wider besseres Wissen sein Anwenderverhalten ändern?
Auch die Frage "wieso er dieses AV-Programm überhaupt einsetzt" verstehe ich nicht. Sie klingt provokativ. Ist sie retorisch gemeint? Es tut mir wirklich leid, aber ich verstehe beim besten Willen nicht, was du sagen willst. Willst du dass man keine AV Programme? Oder nur "dieses" AV Programm? Bitte sei nicht böse, ich versuche ja, dich zu verstehen, aber leider gelingt mir das nicht.
-
-
Die meisten Scanner schlagen ja gar nicht aufgrund irgendeiner Blacklist gegen den AutoIt-Interpreter an. Ihre Heuristik kommt zu dem Schluss, hier KÖNNTE eine Bedrohung vorliegen.
Früher kam eine Meldung "Verdächtige Datei XY gefunden. Soll diese Datei in Quarantäne verschoben werden?"
Heute heißt es lapidar "Die Datei XY wurde in Quarantäne verschoben".
Darin sehe ich die große Unverschämtheit der AVs, denn es ist schlichtweg Diskriminierung! Die AVs handeln bei AutoIt eben NICHT angemessen und es wird KEINE Ermittlung der Bedrohung durchgeführt. Wie die (fast) leeren, kompilierten Scripts beweisen, erfolgt ein pauschale Einstufung. UND die blöden AVs gehen NICHT davon aus, dass ein Programm gefährlich sein KÖNNTE, nein sie diskriminieren AutoIt und behaupten eine Bedrohung gefunden zu haben!
Da dies Behauptung nachweislich falsch ist, ist es eine Lüge! Was mich dabei fassunglos ärgert ist, dass die Lügner nicht bestraft werden können. Im Gegenteil, die Lügner bestrafen uns! Sie nutzen ihre Machtposition aus. Wären hier aus juristischer Sicht Personen (juristische oder natürliche) betroffen, könnte vielleicht schon der Strafbestand der Verleumdung gegeben sein. (Da ich kein Jurist bin, ist das ohne Gewähr.)
Gäbe es nur eine Möglichkeit die AVs zu bestrafen. Als Entwickler können wir mit sovielen Tricks arbeiten, wie wir wollen, es nutzt nichts. Wir können auf unseren PCs Verzeichnisse für das AV von der Prüfung ausnehmen, oder die AVs ganz deinstallieren, das juckt doch keinen AV-Hersteller. Der lacht uns aus, und wenn auf dem Zielrechner für unsre AutoIt Programme ein AV läuft, wird unser Programm gelöscht! ... Wenn ihr genau hinhört, könnte ihr im Hintergrund ganz leise das hämische Lachen der AVs hören: Muhaha!
-
Das Ändern der Checksumme würde wohl, wenn überhaupt, nur kurzfristig etwas bringen.
Das war so gedacht, dass das öffentlich kommuniziert würde, also den AVs das öffentlich mitteilen, dass es AuotIt3 gibt, und gefälligst nicht auf die automatische Blacklist gehört. ... Gerade wo ich das schreibe, habe ich das Gefühl Don Quichote vs. Windmühlen!
-
Ein simples ; dürfte wohl das kürzeste gültige Skript sein .
Interessant! PSPad kompiliert es, SciTE verweigert.
Wenn die Routine nicht sehr genau ist (weil sie ja schnell sein muss), dann spielt der Faktor "Interpreter" eine große Rolle bei der Erkennung und schon sind "alle" AutoIt-Programme als Malware gebrandmarkt.
Da setzte meine Idee an, der AutoIt3.exe eine neue Checksumme, Signatur, oder was weiß ich was zu verpassen. Damit könnten die alten (AutoIt2?) Prüfmechanismen im letzten Jahrhundert bleiben und eine neue Bewertung für AutoIt3 erfolgt, die vielleicht etwas freundlicher ist.
-
Ich wollte mal das Minimum testen, was im Au3 steht. Weniger als "Exit" ist mir nicht eingefallen, damit das Script kompiliert wird. (Eine leere Datei wird nicht kompiliert.)
Bei VirusTotal habe ich die pure AutoIt3.exe getestet (Screenshot links) und 4 AVs haben eine Bedrohung gefunden. Dann habe ich eine Au3 mit lediglich dem Wort "Exit" darin kompiliert, und schon haben 9 AVs angeschlagen (Screenshot rechts).
-
Wie sieht das denn eingentlich aus, was genau lässt denn die AVs "erkennen", dass der AutoIt Code böse ist? Ist das eine Signatur? Oder fehlt eine Signatur? Oder ist da wirklich was dran, dass die AVs einfach alles von AutoIt2 geblacklistet haben, und das Überbleibsel sind, die auf AutoIt3 wirken? Wäre es denn eine Möglichkeit, Jon zu bitten, etwas dahingehend zu ändern, falls es tatsächlich eine aus Urzeiten behaftete Kleinigkeit ist? Oder eine neue AutoIt3.exe mit einer neuen Signatur / Prüfsumme / Was-weiß-ich-was zu erstellen und eine (wie nennt man das denn?) AV-Lizenz zu kaufen, die über Spenden finanziert wird?
Edit: Wenn das eine Möglichkeit wäre, und jeder nur 1 Euro spendet, ... Ich glaube bei all den AV-Geplagten würde da ein gutes Sümmchen zusammen kommen!
-
Was können wir dagegen tun?
Vorschlag: Einen eigenen Thread dazu erstellen und Infos über die AVs sammeln, die am AutoIt-freundlichsten sind. Über längere Zeit könnte man vielleicht einen AV finden, der sowenig wie möglich an AutoIt zu meckern hat.
Das würde zwar nichts ändern für den Zielrechner, aber wenigstens für den Entwicklerrechner. Ansonsten gehen mir die Ideen aus.
Bernd.
Nachtrag: Was hat es auf den obigen AV Screenshot auf sich, wenn die schreiben AutoIT.2? Ist das etwa echt auf AuotIt2 bezogen und die sind noch auf dem Steinzeitstand von Anno dunnemals?
-
-
Ich bitte um Entschuldigung für etwas OffTopic, aber weils ein wenig in das Thema passt.
Die spinnen, die Antivierer!
Auf meinem Win 10 ist Win Defender.Seit Monaten habe und benutze ich ein VBScript. Ich kann es per Doppelklick in Windows ausführen, ich kann es im Editor öffnen, bearbeiten und im Editor ausführen, alles ohne Probleme. Gestern habe ich das VBScript in ein Zip gepackt. Als ich das Zip öffnen wollte, meinte Win Defender: "Alarm! Alarm! Super böse Bedrohung gefunden! Wahrscheinlich Romulaner, oder Klingonen!! Alarm! Alarm!" Und schubbs, war mein eigenes Script weg! ... Die spinnen, die ...
Bernd.
-
Ich lese hier zwar hauptsächlich nur mit, aber ich freue mich, dass das Interesse an dem Thema hoch gehalten wird. Besonderen Dank an Musashi , dass du uns auf dem neuesten Stand hältst!
-
Prima! Paket ist raus.
Bernd.
-
Es werden noch immer Tester gesucht. Hat keiner Interesse?
-
Hallo, ich suche Tester für meinen CallTipViewer für PSPad4AutoIt3.
Mit CallTip ist ein schwebendes, Tooltip-ähnliches Fenster gemeint, ohne Rahmen, Titelleiste, usw. Wenn der Cursor (Caret) im Editor hinter der öffnenden Klammer einer Funktion steht, kann der CallTip aufgerufen werden, indem der Shortcut Shift+Ctrl+Space gedrückt wird. Der CallTip zeigt dann die Syntax und die Beschreibung zu der jeweiligen Funktion. Der aktuelle Parameter, in dem das Caret steht, wird rot hervorgehoben.
Das CallTip-Fenster bekommt jedoch nicht den Fokus. Deshalb kann man im Editor weiterschreiben, während der CallTip angezeigt wird. Der CallTip schließt sich automatisch bei verschiedenen Ereignissen, oder manuell beim Drücken der Esc-Taste.
Der CallTipViewer läuft nach dem Windows-Login ab dem ersten Start von PSPad im Hintergrund, bis zum Windows-Logoff. Für die Tester gibt es zusätzlich den Shortcut Shift+Esc, um den CallTipViewer zu Debug-Zwecken vorzeitig zu beenden.
Bekannte Grenzen des CallTipViewer
- Verzögerung von ein paar Sekunden beim ersten Start von PSPad, bis der CallTip-Shortcut reagiert.
Auf manchen PCs vergehen nach dem Start von CallTipViewer 2 - 3 Sekunden, bis der CallTip-Shortcut reagiert und den CallTip zeigt. Vermutlich hat es mit der PC-Hardware, dem Windows, und vorallem mit dem Viren-Scanner zu tun. Deshalb lasse ich den CallTipViewer laufen, damit die Wartezeit nur 1x (beim ersten Start von PSPad) auftritt. 2020-04-24.
- CallTip wird nicht angezeigt, wenn in PSPad der automatische Zeilenumbruch eingeschaltet ist. 2020-04-23.
- CallTipViewer arbeitet bisher nur mit 1 Zeile. Das heißt, nur wenn das Caret in der gleichen Zeile wie der jeweilige FuncName steht, wird ein CallTip angezeigt. CallTips werden NICHT angezeigt, wenn das Caret in einer Zeile steht, die nur mittels Zeilenfortsetzungszeichen logisch zum FuncName gehört. 2020-04-23.
- CallTipViewer arbeitet bisher nur mit den offiziellen AutoIt Funktionen. Das heißt, nur für Funktionen, die in der au3.api, bzw. in der AutoIt-Hilfe stehen, werden CallTips angezeigt.
CallTips werden (noch) NICHT angezeigt für eigene UDFs, die man z. B. im Script selbst geschrieben hat. 2020-04-23.
- Die Schrift und -Größe können nur unzuverlässig aus der PSPad.ini ausgelesen werden. Mir ist nicht wirklich klar, wann genau PSPad die Schrift-Daten speichert, z. B. wenn mehrere PSPad-Instanzen, und/oder mehrere Tabs geöffnet sind. 2020-04-23.
Wer Interesse hat, den CallTipViewer zu testen, meldet sich bitte per Konversation. Er/sie bekommt dann einen Link zu einem PSPad4AutoIt3 Paket, das alles nötige beinhaltet (außer AutoIt und SciTE). Wie bekannt: PSPad4AutoIt3 ist derzeit nur mit den aktuellen Versionen von AutoIt3 und SciTE funktionsfähig.
Bernd. -
Nur um es zu erwähnen, es gibt auch noch die Holzhammer-Methode.
Gerade habe ich entdeckt, dass die Lizenz von AutoIt3 offiziell das unbegrenzte Verteilen von AutoIt3 erlaubt, ganz oder in Teilen. Das heißt, ich könnte die AutoIt3.exe und die benötigten aktuellen Includes in das Improvement Kit aufnehmen. Somit gäbe es keine Kompatibilitäts-Probleme mehr, selbst mit uralten AutoIt Versionen. Möglicherweise könnte man dann PSPad4AutoIt3 ansich sogar ohne AutoIt benutzen (eingeschränkt). Bliebe noch zu klären, wie sich die SciTE AutoIt3Wrapper.au3 nutzen lässt. Dann könnte PSPad4AutoIt3 komplett portable gemacht werden.
... In der Zwischenzeit hat Musashi ganz ähnliches geschrieben. Interessant, interessant! ...
Ein paar Details zu meiner Idee, wie ich mir das vorstellen würde. Es gibt 2 Bereiche.
Zum einen PSPad4AutoIt3 mit Improvement Kit, AutoIt3.exe und nur die Includes, die zur Ausführung meiner Scripte benötigt werden.
Zum anderen den User Bereich. Damit ist gemeint, der User kann eine beliebige AutoIt Version installieren, mit oder ohne SciTE.
Da PSPad4AutoIt3 dann eine eigene AutoIt3 "Umgebung" mitbringen würde, wären beide Bereiche unabhängig von einander.
Ob das funktioniert, ist eine andere Sache. Stopfersteine gibts natürlich auch, z. B. wie man die Syntax-Definitionen für CallTips, Autovervollständigung und Syntax-Highlighting handhabt, entsprechend der jeweiligen AutoIt Version des Users. Usw. Ist halt nur mal eine Idee.
Bernd.
-
Als gravierender Nachteil habe ich gerade entdeckt, dass a3x Dateien keine Versionsnummer unterstützen. Da in meinem Projekt die Mindesversionsnr's jedoch wichtig sind, hätte ich keine Möglichkeit, die VerNums zu prüfen. Somit schließt sich der Kreis und endet wo er angefangen hat:
Ich schließe mich der Meinung der anderen an dieser Stelle an... Unterstütz einfach nur die aktuellste AutoIt-Version. Es gibt (fast*) keinen Grund, eine alte Version von AutoIt zu verwenden. Im Gegenteil: Solche Sachen wie der haarsträubende Hex-Fehler sind ein guter Grund, immer die aktuellste Variante zu nehmen.
chesstiger Die Grundinformationen waren mir bekannt. Die Details sind sehr interessant, die du aufzählst. Vielen Dank dafür!
Bernd.