我創建了一個自動更新應用程序,該應用程序已分發給100多個用戶。我的應用程序的自動更新實用程序正在觸發反病毒
該自動更新實用程序是由上virustotal(link)防病毒軟件的55%進行標記。
我的應用程序是在Delphi 7中創建的。大多數標誌都說這是通用木馬/惡意軟件,顯然這個軟件實際上並不是惡意軟件(我是唯一一個有源代碼訪問和訪問服務器它承載的話),但它造成了很多用戶的是
沒有人有任何想法,我怎樣才能制止這種被錯誤地標記?
什麼是您的可執行文件命名?它叫什麼API?數字簽名?
這取決於 - 如果用戶的100S是一個企業網絡上,使用組策略管理同一企業的防病毒軟件,一個解決方案可能是指定你的軟件在您的防病毒軟件包異常。
這是被分佈在互聯網這樣不幸的是沒有一個選項 – Mikey 2010-02-02 16:07:42
我想嘗試重構程序,改變名稱,變更的程序和方法,某些程序的結構順序,拆除,更換和添加代碼。
將每項更改提交到VirusTotal。
您最終可能會檢測到導致問題的原因。
上傳一個空的形式應用給這個http://www.virustotal.com/analisis/d592ddc8aff56a928e6dcebf4d8a0f63df3da9523da19f0118c84e9a968584ab-1265126224我在感染或有反病毒垃圾的xD – Mikey 2010-02-02 16:00:18
也許是把樣品提交給給你誤報的公司 – 2010-02-02 17:58:26
反病毒應用程序**是**垃圾!我們有一個隨機「隔離」數據文件!不幸的是反病毒應用程序是我們必須忍受的。我們指示我們的客戶將其AV產品配置爲忽略我們的數據文件夾。 – 2010-02-03 13:23:23
如果你的程序「修改」了一個可執行文件,它會被很多AV程序拾取。 我甚至見過Borland的補丁程序,這個補丁程序是在Delphi 7中新發布的時候被標記爲通用病毒的。
我不知道有什麼可以做這件事,除非你可以反過來說,「功能」關中AV程序或必須添加一個例外爲它的權利。就個人而言,我認爲這只是AV軟件作者創造的一種懶惰的「全能」。
如果真如你所說,空單的應用得到評爲病毒,你很可能是由德爾福感染病毒。這個...東西更多信息:
此外,您使用Delphi 7,這是一個目標,此病毒(據我所知不是所有的Delphi版本都是)。
AV軟件還會檢查用於病毒的常用API的導入表,但我沒有看到任何會在掃描報告中觸發AV軟件的API。
2007年德爾福:新的VCL應用
編譯在不改變任何東西,一些殺毒軟件包將報告結果EXE作爲一個潛在的病毒/木馬。更改主窗體的名稱或向項目添加第二個窗體等,防病毒警告消失。撤消更改並返回(因此它不是「Delphi升級激勵病毒」的D2007端口)。
我的猜測是有人曾經在某個地方用Delphi寫過一個病毒/木馬/惡意軟件,並且與其相關的簽名/啓發式有時不幸與其他Delphi應用程序相沖突。
我懷疑答案不是「某處某人」,而是「很多地方有很多人」。微軟在其MSDN文檔中爲IE擴展使用的CLSID具有相同的問題 - 它們通常被標記爲惡意軟件,因爲惡意軟件作者懶惰並使用它們。 – EricLaw 2010-02-03 19:37:08
我會說作者是無知的並且使用它們,而不是懶惰。 :) – 2010-02-05 20:37:04
看我的帖子在anyone having problems with delphi 2010 and norton internet security。最近,我用Delphi 7編譯的程序(以及用其他編譯器編譯的程序)也得到了SONAR錯誤。
我向諾頓報告了這一情況,也看看hot issues at Norton board。
當然,這只是諾頓,你沒有指定你遇到過哪些病毒檢查。
我認爲你有兩個選擇:
一)提交您的自動更新程序作爲假陽性所有這些公司,(和任何檢測到的新版本這麼做)。通過確保您的元數據是正確的並可能簽名,讓他們更容易。
b)將功能分開,所以你沒有一個Delphi程序從互聯網上下載文件,覆蓋文件和補丁文件。
我們在這裏得到了同樣的問題... Ant-virus也檢測我們的軟件的一些行爲。 反病毒公司並沒有明確地說他們看什麼(當然,安全問題)。 在這裏例如我開始使用管道時遇到了這個問題。
我們做了什麼?我們稱安全公司,他們分析我們的.exe,現在我們對他們有「白旗」。
...不,它不是那麼快的過程。
@Mikey check thids鏈接http://stackoverflow.com/questions/2006534/virus-in-delphi-7 – RRUZ 2010-02-02 15:35:43