Antywirus fałszywie pozytywny w moim pliku wykonywalnym

Odpowiedź Andreasa jest doskonała; to się często zdarza w aplikacjach Delphi.

Podpisywanie kodu nie robi żadnej różnicy -- miałem NOD32 rzucać fałszywych alarmów na podpisanym kodzie Delphi.

Jeśli istnieją jakieś techniki, które mogłyby uniknąć fałszywych alarmów, autorzy wirusów wykorzystają je, aby uniknąć wykrycia.

Odkryłem, że najlepszym sposobem działania jest, niestety, reaktywność, a nie proaktywność. Wszyscy sprzedawcy AV mają możliwość zgłaszania fałszywych alarmów. reagować na raporty.

Wielu uczciwych programistów ma problemy z powodu nieostrożnego oprogramowania antywirusowego. Zobacz także: Jak zapobiec fałszywie dodatniemu alarmowi wirusowemu w moim oprogramowaniu?

Wyobraź sobie, że za każdy fałszywy wynik, który pokazują, tracisz potencjalnego klienta. Programiści powinni podjąć działania przeciwko takim produktom antywirusowym i zmusić ich do uważniejszego obchodzenia się z fałszywie dodatnimi alarmami, nawet po to, aby odzyskać trochę przychodów ze sprzedaży, którą przez nie tracimy.

Aktualizacja:
Ostatnio I zaobserwowali, że:

• liczba fałszywych alarmów na VirusTotal.com jest znacznie wyższa, gdy program jest skompilowany w "trybie wydania" (z optymalizacjami kompilatora), a następnie gdy jest skompilowany w "trybie debugowania".
• wykrywanie rakiet sky przy użyciu Eurekalogu.

Więc, przed opublikowaniem programu zgłoś się do VirusTotal!

Jako rozwiązanie możesz chcieć:

1-sprawdzenie, czy kompilator Delphi nie jest zainfekowany
2-Sprawdź, czy twoje źródła i biblioteki nie są hartowane (taki był sposób działania dla induktora Virus )
3-Sprawdź swój (gwarantowany) czysty exe z AVs. Jeśli zgłoszą fałszywy wynik, skontaktuj się z nimi, aby mogli naprawić swoje testy.

4 - Jeśli chcesz rozpowszechniać, zanim pojawi się szansa na poprawienie AVs, podpisz swój exe, aby użytkownicy mogli zweryfikować jego czysto.

Istnieje kilka powodów, dla których produkt antywirusowy może uruchamiać się na exe produkowanym przez Delphi, kilka typowych powodów to:

• wiele wirusów jest napisanych w Delphi i dlatego twój exe może mieć części kodu, które wyglądają tak samo jak istniejące wirusy.
• tabela importu programu jest używana do określenia, co może zrobić twój exe , na przykład łączenie się z funkcjami zarządzania poświadczeniami lub zarządzania dyskami wyzwala niektóre AV.

Zgodnie z sugestią zanim spróbujesz zeskanować wersję wydania za pomocą usług online, takich jak Virustotal lub Jotti i zawsze zgłaszaj fałszywe alarmy sprzedawcom, zamiast próbować zapobiec fałszywemu alarmowi. Z mojego doświadczenia wynika, że sprzedawcy AV dość szybko reagują na zgłoszenie.

W grupach Free Pascal/Lazarus i bugtracker takie komunikaty pojawiają się prawie w każdym wydaniu i / lub miesiącu.

Generalnie radzimy użytkownikom ignorować wszystkie" ogólne "lub" heurystyczne " typy skanowania i trzymać się skanowania opartego na podpisach(jak robi to większość firmowych skanerów viruss).

To dlatego, że prawie zawsze jest to alarm heurystyczny, nigdy konkretne złośliwe oprogramowanie. Można to łatwo zauważyć w fakcie, że wykryty "wirus / trojan" jest prawie zawsze typu "generycznego". Zazwyczaj Virusscanners są również typowe "domowe" virusscanners, lub domowe edycje general virusscanners (Norton kiedyś był szczególnie zły, obecnie głównie na mniejszą skalę "tanie" Skanery użytku domowego)

Jednak komunikujemy się głównie z programistami i już mamy problem z przekazaniem tego komunikatu. Mogę sobie wyobrazić, że dystrybucja do bezmyślnych użytkowników końcowych jest naprawdę trudnym przekazem do przekazania.

Nie ma innego wyjścia.