Come impedire che il mio file eseguibile venga trattato da AV come cattivo o virus?

Naviga le tue risposte
10

Sto creando un software, che verrà eseguito su Windows e agirà come un launcher per il gioco, per funzionare come un auto-aggiornamento e un verificatore di file nel PC lato client.

Una cosa che non capisco, perché il mio software antivirus (Avast) considera il mio file exe pericoloso e non lo avvierà senza chiedere di inserirlo nella sandbox, per un uso sicuro.

Ci sono delle regole che il mio software dovrebbe obbedire, essere considerate buone, o dovrei pagare centinaia di dollari per una sorta di firma digitale e altre cose?

Uso C # con MS Visual Studio 2010.

Rapporto VirusTotal . Nessuna iniezioni DLL, funziona come downloader di file remoto, utilizzando la classe WebClient ().

Non è come avvisare del virus, ma "suggerisce" di sandbox. Guarda lo screenshot:

    
posta Deele 18.03.2013 - 12:21
fonte

2 risposte

18

"La prevalenza / reputazione del file è bassa" significa che Avast utilizza un sistema di reputazione basato sull'utilizzo del programma. Solo se il tuo programma è stato installato e "contrassegnato come benevolo" da un numero sufficiente di utenti, svilupperà una buona reputazione e questo suggerimento andrà via. Avast chiama questa funzione FileRep cloud e dice "Tutti i nuovi file sconosciuti sono potenzialmente pericolosi: ogni volta che sono diffusi, non ci sarà più motivo per caricarli automaticamente ". Questa è una PITA per le piccole società di software (e Avast non è l'unico a farlo, ad esempio, ad esempio: Insight sospetto" ). Una cosa che suggerisce Avast è "puoi accelerare il processo se firmi digitalmente i file."

Localmente (sul tuo computer) puoi andare alle impostazioni di Autosandbox Expert e disabilitare i file di archiviazione automatica con scarsa reputazione, o magari usare un certificato autofirmato, ma questo non ti aiuterà con i tuoi utenti finali. Per quelli che ti suggerisco di usare un vero certificato (costa, ma piace anche a Windows) e aggiorna la tua documentazione con queste informazioni.
Forse ci sono altri suggerimenti al forum Avast .

    
risposta data 18.03.2013 - 13:42
fonte
-1

Per aggiungere ciò che Jan Doggen ha detto, anche altri software anti viruse eseguono scansioni euristiche.

La scansione antivirus non sta solo esaminando se un eseguibile specifico è la copia esatta di un virus noto. Questo può ed è stato facilmente aggirato. Ora gli strumenti AV controllano comportamenti specifici, come lo strumento utilizza le librerie di rete, esegue l'accesso / modifica dei file, lo crittografa / decrittografa in fase di runtime e così via e, a seconda dell'algoritmo interno (l'euristico), sputa il pericolo .

Un modo per combattere i vari falsi rilevamenti AV, è ciò che è noto con l'offuscazione della firma. Fondamentalmente, un'altra tecnica è che uno strumento AV guarderà se c'è un flusso specifico di byte (firma) incluso in un eseguibile. Se lo trova, conosce un virus. Si può finire per produrre codice (eseguibile) che può includere una delle molte firme milionarie utilizzate da un software AV. Per rimuovere quella parte specifica, è necessario eseguire una ricerca binaria sul file eseguibile dividendola in due parti, prima metà e metà e riprovandola nuovamente e ripetendo il processo fino a individuare la parte che contiene la firma. Una volta trovato, si capovolge alcuni bit e si vede se è ancora rilevato. Un modo più sicuro sarebbe semplicemente cambiare il codice sorgente e vedere se sputa un altro flusso di byte in quella posizione.

Ti imbatterai in questo problema al 100% con il tipo di software che stai sviluppando.

    
risposta data 31.03.2018 - 02:15
fonte

Leggi altre domande sui tag

Uso delle interfacce per codice liberamente accoppiato Qual è la differenza tra la variabile oggetto non inizializzata e la variabile oggetto inizializzata su null in Java