実行可能ファイルが悪意のあるまたはウイルスのようにAVから処理されるのを防ぐ方法


14

Windows上で実行され、ゲームのランチャーのように動作し、クライアント側のPCで自動アップデーターおよびファイル検証ツールとして機能するソフトウェアを作成しています。

私の理解していないことの1つは、私のアンチウイルスソフトウェア(Avast)が私のexeファイルを危険だと見なし、安全に使用するためにサンドボックスに入れることを求めずに起動しない理由です。

私のソフトウェアが従うべきルール、良いものとして扱われるルール、またはある種のデジタル署名などに数百ドルを支払うべきルールはありますか?

MS Visual Studio 2010でC#を使用しています。

VirusTotalレポート。WebClient()クラスを使用して、リモートファイルダウンローダーとして機能するDLLインジェクションはありません。

ウイルスについて警告するようなものではありませんが、サンドボックスすることを「提案」します。スクリーンショットを見てください:ここに画像の説明を入力してください


1
まず、プログラムをvirustotal.comにアップロードして、アプリが疑わしいと考えるベンダーの数を把握することをお勧めします。すべてのAVプログラムがアプリにフラグを立てる場合、AVプログラムが疑わしいと見なす可能性のあるコードの実行内容を確認する必要があります。AVベンダーがどのようなヒューリスティックを使用しているかを判断することは事実上不可能です。1つまたは2つだけの場合は、それらに誤検知を報告できます(彼らのWebサイトを確認するか、またはgoogle "vendorname report false positive")。この欠点は、ソフトウェアのリリースごとにこれを行う必要があることです。
ヤンDoggen

DLLインジェクション関連のアクティビティは何もしていませんか?
l46kok

コンピュータがウイルスに感染していないことを確認してください。感染がない限り、私は以前にその動作を見たことはありません。
サム

4
AVが満たされるか、コードがなくなるまで(どちらか早い方)、コードから機能の削除を開始できます。AVが削除された部分を確認する必要があります。
ウゴレン

1
問題は開発中にのみ発生しますか?コンパイラが実行可能ファイルを生成するとき、私は何度も自分の仕事でその問題を抱えてきました。その場合、解決策は実際にアンチプログラムソフトウェアをアンインストールすることです。

回答:


22

「ファイルの普及/評判が低い」とは、アバストがプログラムの使用状況に基づいた評判システムを使用することを意味します。プログラムがインストールされ、十分なユーザーによって「慈悲深い」とマークされた場合にのみ、評判が良くなり、この提案はなくなります。アバストはこれをFileRepクラウド機能と呼び、「すべての新しい未知のファイルは潜在的に危険です。それらが広まるたびに、AutoSandboxにそれ以上の理由はありません」と言います。これは小規模なソフトウェア企業向けのPITAです(これを行うのはAvastだけではありません。SymantecのSuspicious Insightなどに注意してください)。

ローカル(コンピューター)で、オートサンドボックスエキスパート設定に移動して、評判の低いオートサンドボックスファイルを無効にするか、自己署名証明書を使用できますが、それはエンドユーザーには役立ちません。それらについては、実際の証明書を使用することをお勧めします(費用がかかりますが、Windowsも気に入っています)。この情報でドキュメントを更新してください。アバストフォーラムにも他の
提案があるかもしれません。


同様の問題があります。@Deeleを使用したデジタル署名ソリューションは何ですか?私はこれのために50ドル以上を持っていません
...-Basj

0

Jan Doggenが言ったことに加えて、他のアンチウイルスソフトウェアもヒューリスティックスキャンを行います。

アンチウイルススキャンは、特定の実行可能ファイルが既知のウイルスの正確なコピーであるかどうかを単に調べるだけではありません。これは簡単に回避できます。現在、AVツールは特定の動作を確認します。ツールがネットライブラリを使用する、ファイルアクセス/変更を行う、実行時に自分自身を暗号化/復号化するなど、内部アルゴリズム(ヒューリスティック)に応じて、危険を吐き出します。

さまざまなAVの誤検出に対抗する1つの方法は、署名の難読化で知られているものです。基本的に、もう1つのテクニックは、AVツールが実行可能ファイルに特定のバイトストリーム(署名)が含まれているかどうかを調べることです。それを見つけると、ウイルスを知っています。AVソフトウェアが利用する数十億の署名の1つを含む(実行可能な)コードを生成することになります。その特定の部分を削除するには、実行可能ファイルを前半、後半の2つの部分に分割し、再度スキャンして署名を含む部分が見つかるまでプロセスを繰り返すことにより、実行可能ファイルをバイナリ検索する必要があります。見つかったら、いくつかのビットを反転し、まだ検出されるかどうかを確認します。より安全な方法は、ソースコードを変更し、その場所で別のバイトストリームを吐き出すかどうかを確認することです。

開発しているソフトウェアの種類によって、この問題に100%遭遇します。

弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.