search

msasanmh / SecureDNSClient

A DNS Client Supporting DNSCrypt, Anonymized DNSCrypt, DoH, DoT, UDP And TCP.
https://msasanmh.github.io/SecureDNSClient/
GNU General Public License v3.0
814 stars 80 forks source link

Trojan:Win32/Wacatac.H!ml #74

Open mztd006 opened 1 year ago

mztd006 commented 1 year ago

ویندوز دیفندر روی SecureDNSClient.dll آلارم میده . (البته false alarm هست)

Screenshot 2023-08-11 120641

msasanmh commented 1 year ago

همونطور که توی صفحه اول برنامه نوشتم بعضی آنتی‌ویروس‌ها ممکنه گاهی به WinDivert که توسط GoodbyeDPI استفاده میشه گیر بدن. همه منابع مثل همین WinDivert و بقیه داخل dll برنامه قرار دارن. این WinDivert کارش ایجاد تغییر در پکت‌های ارسالی هست، حالا اگه یه برنامه استفاده نادرست ازش بکنه اونوقت آره خطرناک بحساب میاد. اما من سورس GoodbyeDPI رو مطالعه کردم و دیدم تمام تغییراتش فقط برای دور زدن سانسور اینترنت هستش. باید بدونی برنامه SDC کاملا متن‌بازه و از همه برنامه‌های دیگه‌ای که استفاده میکنه اونا هم متن‌باز هستن، درنتیجه هر برنامه‌نویسی میتونه سلامت برنامه رو تایید کنه. شاید در آینده یه نظر سنجی بذارم در مورد اینکه GoodbyeDPI بمونه یا حذف بشه. چون تنها راه حل کردن این مشکل حذف GoodbyeDPI هستش.

msasanmh commented 1 year ago

خب این پیام wacatac برای اینه که آنتی‌ویروس میگه فایل dll داره فایل‌هایی رو کپی میکنه. که خب باید این کار انجام بشه تا برنامه‌های dnslookup.exe, dnsproxy.exe, dnscrypt-proxy.exe, windivert.dll, windivert_x64.dll, GoodbyeDPI.exe و دو تا فایل کانفیگ برای dnscrypt از داخلش اکسترکت بشن. الان به این گیر داده و گاهی هم به Windivert گیر میده. حقیقتش خسته شدم دیگه، تا الان ۴ نفر این موضوع آنتی‌ویروس رو گزارش کردن. اولی رو به یه شکلی میتونم حل کنم. اما در مورد WinDivert کلا GoodbyeDPI باید حذف بشه.

mztd006 commented 1 year ago

حالا آلارم اشتباه اینقدر اهمیت نداره که یک بخش اصلی برنامه رو قیچی کرد. حداکثر یک خط توضیحات توی read me اضافه میکنی. GoodbyeDPI آپشن خیلی گسترده تری از bypass dpi که شما خودت نوشتی داره و از طرفی چون شرایط پروایدر های مختلف با هم فرق میکنه وجود جفتشون توی برنامه لازمه

msasanmh commented 1 year ago

حالا آلارم اشتباه اینقدر اهمیت نداره که یک بخش اصلی برنامه رو قیچی کرد. حداکثر یک خط توضیحات توی read me اضافه میکنی. GoodbyeDPI آپشن خیلی گسترده تری از bypass dpi که شما خودت نوشتی داره و از طرفی چون شرایط پروایدر های مختلف با هم فرق میکنه وجود جفتشون توی برنامه لازمه

الان شما میدونی false positive چی هستش. خیلی‌ها هستن نمیدونن، فقط کافیه آنتی‌ویروس شون یه آلارم بده. حالا فعلا سعی میکنم ... ببینم میتونم روشی پیدا کنم تا احتمال بروز این آلارم‌ها رو کاهش بدم.

nonbarbari commented 1 year ago

حالا آلارم اشتباه اینقدر اهمیت نداره که یک بخش اصلی برنامه رو قیچی کرد. حداکثر یک خط توضیحات توی read me اضافه میکنی. GoodbyeDPI آپشن خیلی گسترده تری از bypass dpi که شما خودت نوشتی داره و از طرفی چون شرایط پروایدر های مختلف با هم فرق میکنه وجود جفتشون توی برنامه لازمه

الان شما میدونی false positive چی هستش. خیلی‌ها هستن نمیدونن، فقط کافیه آنتی‌ویروس شون یه آلارم بده. حالا فعلا سعی میکنم ... ببینم میتونم روشی پیدا کنم تا احتمال بروز این آلارم‌ها رو کاهش بدم.

ن مشکل اینه که ایشون دفاع از فایل ویندوز رو فعال کرده و پوشه برنامه رو جایی قرار دادن که زیر مجموعه دایرکتوری محافظت شده هست . برای همین هر برنامه ای سعی کنه فایل های اون دایرکتوری رو تغییر بده با یاز کنه یا حذف یا کپی یا جا به جا کنه این آلارم رو میگیره

msasanmh commented 1 year ago

حالا آلارم اشتباه اینقدر اهمیت نداره که یک بخش اصلی برنامه رو قیچی کرد. حداکثر یک خط توضیحات توی read me اضافه میکنی. GoodbyeDPI آپشن خیلی گسترده تری از bypass dpi که شما خودت نوشتی داره و از طرفی چون شرایط پروایدر های مختلف با هم فرق میکنه وجود جفتشون توی برنامه لازمه

الان شما میدونی false positive چی هستش. خیلی‌ها هستن نمیدونن، فقط کافیه آنتی‌ویروس شون یه آلارم بده. حالا فعلا سعی میکنم ... ببینم میتونم روشی پیدا کنم تا احتمال بروز این آلارم‌ها رو کاهش بدم.

ن مشکل اینه که ایشون دفاع از فایل ویندوز رو فعال کرده و پوشه برنامه رو جایی قرار دادن که زیر مجموعه دایرکتوری محافظت شده هست . برای همین هر برنامه ای سعی کنه فایل های اون دایرکتوری رو تغییر بده با یاز کنه یا حذف یا کپی یا جا به جا کنه این آلارم رو میگیره

مرسی، نمی‌دونستم.

nonbarbari commented 11 months ago

https://github.com/AdguardTeam/dnsproxy/issues/352

msasanmh commented 11 months ago

https://github.com/AdguardTeam/dnsproxy/issues/352

مرسی بخاطر ایجاد issue در dnsproxy خیلی از شبهات رو برطرف میکنه. نمیدونم "شبهات" رو درست نوشتم یا نه

nonbarbari commented 11 months ago

AdguardTeam/dnsproxy#352

مرسی بخاطر ایجاد issue در dnsproxy خیلی از شبهات رو برطرف میکنه. نمیدونم "شبهات" رو درست نوشتم یا نه

جواب داد ولی نفهمیدم چی گفت. الان معلوم نیس داره درست کار میکنه یا ن تا حالا هم همچین هشداری دریافت نکرده بودم

msasanmh commented 11 months ago

AdguardTeam/dnsproxy#352

مرسی بخاطر ایجاد issue در dnsproxy خیلی از شبهات رو برطرف میکنه. نمیدونم "شبهات" رو درست نوشتم یا نه

جواب داد ولی نفهمیدم چی گفت. الان معلوم نیس داره درست کار میکنه یا ن تا حالا هم همچین هشداری دریافت نکرده بودم

تو پیام آنتی‌ویروس رو براش نذاشتی، پیام فایروال رو گذاشتی که dnsproxy رو بلاک کرده. اونم گفت دفندر پیش‌فرض outbound رو بلاک میکنه باید خودت دستی بهش اجازه بدی.

nonbarbari commented 11 months ago

AdguardTeam/dnsproxy#352

مرسی بخاطر ایجاد issue در dnsproxy خیلی از شبهات رو برطرف میکنه. نمیدونم "شبهات" رو درست نوشتم یا نه

جواب داد ولی نفهمیدم چی گفت. الان معلوم نیس داره درست کار میکنه یا ن تا حالا هم همچین هشداری دریافت نکرده بودم

تو پیام آنتی‌ویروس رو براش نذاشتی، پیام فایروال رو گذاشتی که dnsproxy رو بلاک کرده. اونم گفت دفندر پیش‌فرض outbound رو بلاک میکنه باید خودت دستی بهش اجازه بدی.

ویندوز کلا همین یه پیام رو داد اطلاعات دیگه ای هم نداد الان کودوم قسمت برنامه باید کار نکنه چون همه چیزش کار میکنه با این که هنوز بلاکه و این که موقعی که این پیام رو داد گزینه ای واسه انتخاب نداشت فایروال ویندوز هم اصلا فعال نیست فایروال انتی ویروس فعاله تو آنتی ویروس هم کل برنامه رو زدم که کاری به کارش نداشته باشه

msasanmh commented 11 months ago

AdguardTeam/dnsproxy#352

مرسی بخاطر ایجاد issue در dnsproxy خیلی از شبهات رو برطرف میکنه. نمیدونم "شبهات" رو درست نوشتم یا نه

جواب داد ولی نفهمیدم چی گفت. الان معلوم نیس داره درست کار میکنه یا ن تا حالا هم همچین هشداری دریافت نکرده بودم

تو پیام آنتی‌ویروس رو براش نذاشتی، پیام فایروال رو گذاشتی که dnsproxy رو بلاک کرده. اونم گفت دفندر پیش‌فرض outbound رو بلاک میکنه باید خودت دستی بهش اجازه بدی.

ویندوز کلا همین یه پیام رو داد اطلاعات دیگه ای هم نداد الان کودوم قسمت برنامه باید کار نکنه چون همه چیزش کار میکنه با این که هنوز بلاکه و این که موقعی که این پیام رو داد گزینه ای واسه انتخاب نداشت فایروال ویندوز هم اصلا فعال نیست فایروال انتی ویروس فعاله تو آنتی ویروس هم کل برنامه رو زدم که کاری به کارش نداشته باشه

اگه outbound بلاک باشه برنامه داخل PC کار میکنه اما دیگه رو شبکه share نمیشه