web-dev-qa-db-ja.com

実行可能ファイルが不良またはウイルスのようなAVから処理されないようにするにはどうすればよいですか?

私は、Windows上で実行され、ゲームのランチャーのように機能し、クライアント側のPCで自動アップデーターおよびファイル検証機能として機能するソフトウェアを作成しています。

わからないことが1つあります。なぜ私のアンチウイルスソフトウェア(Avast)は、exeファイルを危険だと見なし、安全に使用するためにサンドボックスに入れるように要求しないと起動しません。

私のソフトウェアが従うべきルール、良いものとして扱われるべきルール、またはある種のデジタル署名やその他のものに何百ドルも払わなければならないルールはありますか?

MS Visual Studio 2010でC#を使用しています。

VirusTotalレポート 。いいえDLLインジェクション、WebClient()クラスを使用してリモートファイルダウンローダーとして機能。

それはウイルスについて警告するようなものではありませんが、それをサンドボックス化することを「提案」します。スクリーンショットを見てください:enter image description here

15
Deele

「ファイルの普及率/評判が低い」とは、アバストがプログラムの使用状況に基づいて評判システムを使用することを意味します。プログラムがインストールされ、十分な数のユーザーによって「慈悲深い」とマークされている場合にのみ、そのプログラムは良い評判を生み出し、この提案はなくなります。アバストはこれを FileRepクラウド機能 と呼び、「すべての新しい不明なファイルは潜在的に危険です。それらが広まった場合は、いつでもファイルをオートサンドボックス化する理由はありません」と述べています。これは小規模なソフトウェア企業向けのPITAです(これを行うのはAvastだけではありません。たとえば、Symantecの Suspicious Insight " に注意してください)。ファイル。」

ローカル(コンピューター上)でオートサンドボックスエキスパート設定に移動し、評判の低いオートサンドボックスファイルを無効にするか、自己署名証明書を使用することができますが、これはエンドユーザーの役に立ちません。それらについては、実際の証明書を使用することをお勧めします(コストがかかりますが、Windowsでも気に入っています)。この情報でドキュメントを更新します。
多分 Avastフォーラム にも他の提案があります。

22
Jan Doggen

Jan Doggenの発言に加えて、他のウイルス対策ソフトウェアもヒューリスティックスキャンを実行します。

ウイルス対策スキャンは、特定の実行可能ファイルが既知のウイルスの正確なコピーであるかどうかを調べるだけではありません。これは簡単に回避できます。 AVツールは、ツールがネットライブラリを使用するか、ファイルアクセス/変更を行うか、実行時に自分自身を暗号化/復号化するかなどの特定の動作をチェックし、内部アルゴリズム(ヒューリスティック)に応じて、危険を吐き出します。

さまざまなAVの誤検出に対抗する1つの方法は、署名の難読化で知られている方法です。基本的に、他の1つの手法は、AVツールが実行可能ファイルに含まれる特定のバイトストリーム(署名)があるかどうかを調べることです。見つかった場合、ウイルスであることがわかります。 AVソフトウェアが利用する何十億ものシグネチャの1つを含む(実行可能な)コードを生成することになります。その特定の部分を削除するには、実行可能ファイルを前半と後半の2つの部分に分割し、それらを再度スキャンして、署名を含む部分が見つかるまでプロセスを繰り返すことにより、実行可能ファイルのバイナリ検索を行う必要があります。見つかったら、いくつかのビットを反転して、それがまだ検出されるかどうかを確認します。より安全な方法は、ソースコードを変更して、その場所で別のバイトストリームを吐き出すかどうかを確認することです。

開発しているソフトウェアの種類によって、この問題が100%発生します。

0