Windows - Undgå Antivirus False-Positives i Data Files

Indlæg af Hanne Mølgaard Plasc

Problem



En datafil, der blev brugt af et af mine applikationer, blev for nylig sat i karantæne af Symantec Antivirus (signatur udløst var 'Nightfall.5815').
Filen er skrevet og læst dynamisk, og indholdet er vilkårlig data.


Er der nogen måde for min ansøgning at undgå disse filer, der udløser AV-scanninger?


Jeg er opmærksom på andre spørgsmål om så med falske positiver, men de synes mest at være bekymrede for eksekverbare filer og Delphi. Mange af svarene på denne type spørgsmål involverer at kontakte AV-leverandørerne for at rapportere den falske positive. I mit tilfælde er dette en vilkårlig datafil, som jeg har brug for at beskytte mod karantæne, så jeg er ikke sikker på, at en enkelt rapport og en beslutning ville forhindre mig i at udløse igen i fremtiden. Jeg er interesseret, hvis der er generelle overvejelser for at undgå dette fra applikationsperspektivet (forskellige filtilladelser, ændring af filformat), eller hvis der er en måde at adressere dette ved muligvis at udelukke en mappe fra scanningen.

Bedste reference


Hvis du kan konsekvent få Antivirus (erne) til at udløse på en fil, skal du prøve at padde begyndelsen x-tal-byte af filen med alle 0 's (for eksempel). Undrer mig over, om antivirusser optager bestemte sekvenser af bytes på bestemte positioner eller om en bestemt sekvens af byte altid betragtes som dårlig.


Ellers ville det være den bedste løsning at ekskludere mappen fra virusscanningen.

Andre referencer 1


Ifølge kaspersky's terminologi (Virus.DOS.NightFall.5815) synes denne virus at være en gammel timer dos fil infector.
AV-virksomheder underskrev ofte gamle vira for at forbedre deres score i AV-certificeringsprocesser som AV-Comparatives eller ICSA.


De bruger mønster-matching teknikker for at opdage en defineret rækkefølge af bytes.
Uheldigvis er sekvensen svag og skaber for mange falske positive.
Jeg tror, ​​du har lige haft stor ulempe med din datafil.


Du kan forsøge at ændre filkodningen, så sekvensen ændres og bliver ikke fanget af den svage signatur.
For at kontrollere, om din fil nu laver ok, skal du køre den gennem AV-krydsskanner som Jotti. [3]