Yürütülebilir dosyama AV'den kötü veya virüs gibi davranılmasını nasıl önleyebilirim?


15

Windows üzerinde çalışan ve oyunun başlatıcısı gibi davranacak, istemci tarafı PC'de otomatik güncelleyici ve dosya doğrulayıcı olarak hizmet verecek bir yazılım parçası oluşturuyorum.

Anlamadığım bir şey, antivirüs yazılımımın (Avast) neden exe dosyamı tehlikeli olarak değerlendirdiğini ve güvenli kullanım için sandbox'a koymadan sormaya başlamadığını.

Yazılımımın uyması, iyi muamele görmesi veya bir tür dijital imzalama ve diğer şeyler için yüzlerce dolar ödemem gereken herhangi bir kural var mı?

MS Visual Studio 2010 ile C # kullanıyorum.

VirusTotal raporu . WebClient () sınıfını kullanarak uzak dosya indiricisi olarak çalışan DLL enjeksiyonları yok.

Virüs hakkında uyarıyor gibi değil, ama onu korumayı "öneriyor". Ekran görüntüsüne bakın:resim açıklamasını buraya girin


1
Uygulamanızı şüpheli kabul eden satıcıların sayısı hakkında bir fikir edinmek için önce programınızı virustotal.com'a yüklemenizi öneririm . Tüm AV programları uygulamanızı işaretlerse, bir AV programının şüpheli olduğunu düşünebilecek kodunuzun ne yaptığını öğrenmeniz gerekir. AV satıcılarının kullandığı buluşsal yöntemlerin belirlenmesi neredeyse imkansızdır - size söyleyeceklerinden şüpheliyim. Yalnızca bir veya iki ise, onlara yanlış pozitif bildirebilirsiniz (web sitelerini kontrol edin veya google "satıcı adı raporu yanlış pozitif"). Bunun dezavantajı, bunu yazılımınızın her sürümünde yapmanız gerekeceğidir.
Jan Doggen

DLL-Injection ile ilgili bir şey yapmıyor, değil mi?
l46kok

Bilgisayarınıza virüs bulaşmadığından emin olun. Bir enfeksiyon olmadığı sürece bu davranışı daha önce hiç görmedim.
Sam

4
AV tatmin oluncaya veya hiçbir kod kalmayıncaya kadar (hangisi önce gelirse) işlevselliği kodunuzdan kaldırmaya başlayabilirsiniz. Sökülmesi AV'yi mutlu eden kısım kontrol edilmelidir.
ugoren

1
Sorun sadece geliştirme sırasında mı ortaya çıkıyor? Derleyici çalıştırılabilir dosyaları oluşturduğunda bu problemi kendim defalarca yaşadım. Öyleyse, çözüm gerçekten anti-program yazılımını kaldırmaktır.

Yanıtlar:


22

"Dosya yaygınlığı / saygınlığı düşük", Avast'ın programın kullanımına dayalı bir itibar sistemi kullandığı anlamına gelir. Yalnızca programınız yeterince kullanıcı tarafından kurulmuş ve 'hayırsever olarak işaretlenmişse' iyi bir itibar geliştirecek ve bu öneri ortadan kalkacaktır. Avast bunu FileRep bulut özelliği olarak adlandırıyor ve "Tüm yeni bilinmeyen dosyalar potansiyel olarak tehlikeli. Yaygınlaştıklarında artık AutoSandbox için bir neden olmayacak" diyor. Bu küçük yazılım şirketleri için bir PITA'dır (ve Avast bunu yapan tek kişi değildir, örneğin Symantec'in Şüpheli Anlayışı'na dikkat edin ). Avast'ın önerdiği şey, "dosyaları dijital olarak imzalarsanız süreci hızlandırabilirsiniz".

Yerel olarak (bilgisayarınızda), otomatik kutu uzman ayarlarına gidebilir ve düşük itibarlı otomatik kumlama dosyalarını devre dışı bırakabilir veya kendinden imzalı bir sertifika kullanabilirsiniz, ancak bu son kullanıcılarınızla size yardımcı olmaz. Bunlar için gerçek bir sertifika kullanmanızı öneririm (maliyetlidir, ancak Windows da bunu sever) ve belgelerinizi bu bilgilerle güncelleyin.
Belki de Avast forumlarında daha fazla öneri var .


Benzer bir sorunum var. @Deele'yi hangi dijital imzalama çözümünü kullandınız? Bunun için 50 dolardan fazla param yok ...
Basj

0

Jan Doggen'in söylediklerine ek olarak, diğer virüs karşıtı yazılımlar da sezgisel taramalar yapıyor.

Anti Virüs taraması sadece belirli bir yürütülebilir dosyanın bilinen bir virüsün tam kopyası olup olmadığına bakmaz. Bu kolayca atlatılabilir ve atlatılabilir. Şimdi AV araçları, araç net kütüphaneler kullanıyor, dosya erişimi / değişikliği yapıyor mu, çalışma zamanında kendini şifreliyor / şifresini çözüyor mu ve iç algoritmaya (sezgisel) bağlı olarak, belirli davranışları kontrol ediyor .

Çeşitli AV'nin yanlış tespitleriyle mücadele etmenin bir yolu, imza gizleme ile bilinen şeydir. Temel olarak, bir diğer teknik, bir AV aracının yürütülebilir bir dosyaya dahil edilen belirli bir bayt akışı (imza) olup olmadığına bakmasıdır. Eğer bulursa, bir virüs olduğunu bilir. Bir AV yazılımının kullandığı milyarlarca imzadan birini içerebilecek (yürütülebilir) kod üretebilirsiniz. Söz konusu parçayı kaldırmak için, yürütülebilir dosya üzerinde, ilk yarıyı, diğer yarısını ikiye bölerek ve bunları yeniden takarak ve imzayı içeren parçayı bulana kadar işlemi tekrarlayarak ikili bir arama yapmanız gerekir. Bulduktan sonra, bazı bitleri çevirir ve hala algılanıp algılanmadığını görürsünüz. Daha güvenli bir yol, sadece kaynak kodunu değiştirmek ve o konumda başka bir bayt akışı tükürüp yaymadığını görmek olacaktır.

Bu soruna, geliştirmekte olduğunuz yazılım türüyle% 100 gireceksiniz.

Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.