La paranoïa anti-virus de Google

[jvernet]

Et pour finir, j'ai pris le fichier (sur mon Mac, qui ne dit rien), décompresséavec UPX -d et recompressé avec upx -9, et plus aucun outil ne dit rien....

les-prives_win.zip

(258.82 Kio) Téléchargé 127 fois

UPX a sans doute fait évoluer son code.

[Daniel]

On peut l'expliquer : L'anti-virus détecte une signature suspecte dans le fichier. En changeant de méthode de compression le fichier change et ne contient plus cette signature. Mais c'est une loterie. Un autre fichier non détecté par l'anti-virus avec la compression normale peut devenir positif en passant en compression -9.

Beaucoup d'utilisateurs d'UPX, également accablés par les anti-virus, demandent pourquoi ils ne décompressent pas l'exécutable avant de l'analyser, tout comme ils décompressent les fichiers .zip. Ce serait moins la loterie. Mais ça le restera toujours un peu, puisqu'ils ont trouvé un virus dans le fichier .k7 de l'Aigle d'Or. Et là ce n'est pas la faute d'UPX, c'est la faute à pas de chance.

Bannir un site parce qu'il n'a pas de chance, c'est quand même un peu cavalier. Prévenir l'utilisateur que le fichier a une séquence d'octets qui ressemble à celle d'un virus, d'accord. Mais empêcher de le charger et traiter le webmaster d'individu malveillant, c'est dépasser les bornes.

Lisez bien ce qu'ils écrivent : "Des individus malveillants sont à l’œuvre sur le site dcmoto". Il ne disent pas qu'il y a un fichier contenant une chaîne de caractères ressemblant à la signature d'un programme malveillant. Il écrivent que je suis malveillant. Ont-ils le droit de salir ma réputation ?

[jvernet]

De ce que j'ai lu, beaucoup de salopware utilisent UPX comme packer.... Donc les mecs dans AV se font pas chier.

Il est pas mal, ce packer. Les privés sont reduits de 2Mo à 230k... Ca me rappelle mon 8086, j'utilisais un truc comme ça, plus un sur formateur de disquettes, pour faire tenir Turbo C sur une seule disquette 720k.

JV

[Ythunder]

On est juste en train de parler des faux positifs mais bon...

[Daniel]

UPX est le meilleur compresseur d'exécutables au monde, c'est pourquoi je l'utilise. C'est bien le sujet, car c'est lui qui provoque les faux positifs.
La taille des exécutables n'est pas vraiment un problème depuis que les disquettes sont remplacées par des clés USB de plusieurs dizaines de Go, mais pourquoi gaspiller l'espace disque ? Ce n'est pas cher, d'accord, mais ma motivation n'est pas financière.

En utilisant UPX l'exe est 10 fois plus petit, comme l'a constaté Jérôme. C'est 90% de bande passante économisée, 90% de capacité disque en moins et probablement aussi 90% d'économies d'énergie.

[6502man]

En utilisant UPX l'exe est 10 fois plus petit, comme l'a constaté Jérôme. C'est 90% de bande passante économisée, 90% de capacité disque en moins et probablement aussi 90% d'économies d'énergie.

Pas tout à fait car UPX décompresse en RAM l’exécutable et donc consomme du coup plus de RAM que l’exécutable seul
Oui c'est négligeable, mais à comparaison entre l’exécutable non compressé 2Mo et l'exécutable compressé 230Ko la RAM utilisée seras d'un peu plus de 10%
Par curiosité il faudrait comparait la compression avec ZIP, RAR, 7ZIP ... de l’exécutable "brut"

[Daniel]

L'économie de 90%, c'est pour le stockage et la transmission.
A l'exécution il n'y a pas d'économie puisqu'il faut décompresser et il n'y a pas moins de RAM utilisée, et même un tout petit peu plus.

[jvernet]

Par curiosité il faudrait comparait la compression avec ZIP, RAR, 7ZIP ... de l’exécutable "brut"

Pas testé, mais le fichier upxé --9 est plus petit que ce même fichier une fois zippé !
UPX utilise LZMA. Un 386 minimum pour la compression, mais peut produire un exe decompressible sur un 8086 (avec les options --1 à --3)

A l'époque, j'utilisais LZEXE et FDFORMAT sur mon PC1512, pour avoir un disque 5.25" de 410k en drive A, un 3.5" de 820k en drive B. Turbo C tenait sur ces 2 disquettes ! Ca couinait beaucoup à la compilation....

[6502man]

Daniel tu peux diffuser le fichier exécutable non compressé, c'est juste par curiosité intellectuelle

[fneck]

Ce matin j'ai aussi eu le message de Google m'avertissant de la présence d'un "Logiciel malveillant ou indésirable" sur le site. J'ai par conséquent retiré "Les privés" inséré dans le premier message de Daniel. A priori la version posté par Jérôme ne pose pas de problème... mais il faut que j'analyse de plus près les 3 messages que j'ai reçus cette nuit.

J'espère que l'accès au site ne va pas être perturbé!

[Daniel]

Toutes mes excuses pour cette perturbation du forum. Mais au moins elle montre que je n'ai rien inventé : Google est bien pire qu'un simple virus. Il s'introduit partout, de façon insidieuse, sans autorisation et sans rien demander, pour espionner, persécuter, et jusqu'à diffamer publiquement les webmasters.

Il faut aussi se méfier de leur moteur de recherche, qui oriente notre activité en fonction du filtrage et de l'ordre de tri des réponses. Ils ont un pouvoir que l'on devine aisément, mais nous avons tendance à le sous-évaluer.

@6502man : Pour obtenir le fichier original il suffit de le décompresser avec UPX -d
Je ne peux pas le transmettre, sinon tous les anti-virus vont hurler. Mais le fichier original ne prouvera rien. Quel que soit le programme, il y a toujours une chance non négligeable qu'il contienne la signature d'un virus connu. Le fichier "les-prives_win.exe" a été déclaré "clean" pendant 14 ans. Aujourd'hui une nouvelle signature a été introduite dans les listes de détection et il devient suspect. Demain il ne le sera peut-être plus, et il le redeviendra plus tard. C'est, comme je l'ai dit, une loterie. Et plus il y a de fichiers plus on a de chances de gagner (si l'on peut dire). Avec 49799 fichiers sur le site dcmoto la probabilité de décrocher le gros lot est multipliée par ce nombre.

[Daniel]

La semaine dernière le site dcmoto arrivait en tête des résultats de Google pour n'importe quelle interrogation sur la documentation des ordinateurs Thomson, leurs jeux ou leur émulation. Aujourd'hui il n’apparaît plus qu'à la 42e place pour la recherche "Emulation Thomson" et à la 44e pour "Documentation Thomson". La sanction a été immédiate. Je le constate aussi dans les statistiques d'accès au site. C'est encore une démonstration de la puissance de Google, qui peut en quelques jours couler une entreprise commerciale si elle na pas la chance de lui plaire.

En revanche les mêmes requêtes dans QWANT font apparaître dcmoto en première position pour "Emulation Thomson", en deuxième position pour "Documentation Thomson" et en quatrième position pour "Jeux Thomson".

[Ythunder]

Chez moi sous google
"emulateur thomson" : 1ère position

[Daniel]

Exact, avec "Emulateur Thomson" il est resté en 1ère position. Mais avec "Emulation Thomson" il a encore perdu deux places, il est 44e. Avec "Emulation MO5" il est 40e. La semaine dernière il était en première position pour les trois requêtes.

En cherchant "Les Privés Infogrames TO8" il ne trouve pas la page du programme, seulement celle des jeux Infogrames, en 45e position. La semaine dernière la même requête aurait donné cette page http://dcmoto.free.fr/programmes/les-prives/index.html dans les toutes premières positions (probablement en n°1).

[Papy.G]

Les résultats de recherche de Google sont clairement orientés, j'ai une "chaîne" vidéo sur Dailymotion, avec le même nom que mon pseudo ici, cherchez "Papy.G Vidéo" sur plusieurs moteurs, ma chaîne arrive en second sur tous, avec Google, il faut fouiller en milieu de deuxième page, étonnant, non? (Alors même que les résultats prioritaires ne respectent pas exactement l'orthographe)
(La seule vidéo que j'ai postée a été faite à l'arrache à la demande insistante d'un membre du forum GCForever qui voulait voir le truc fonctionner, rien qui ne justifie qu'on perde 6 minutes à regarder. )