当我写的应用程序(它的设置文件)被标记为病毒/木马时该怎么办?
我为客户端写了一个下载管理器(采用AutoHotKey语言),它被少数病毒扫描程序(VirusTotal上使用的扫描程序的11%)标记为特洛伊木马,恶意软件,滴管,数据窃取程序等。由于我的软件没有这些东西,我想纠正这些扫描仪错误的标记。有没有人处理过这类问题?当我写的应用程序(它的设置文件)被标记为病毒/木马时该怎么办?
这里真正的复杂是,因为这是一个下载管理器,我提供的实际签名二进制文件对于成千上万次下载中的每一个都是不同的,因此我不能要求每个独特版本都是白名单或某种东西。
我不希望尝试使用实际的隐藏技术来欺骗反病毒公司,但我不确定是否有其他选择(我不确定)我会成功的)。有什么建议?
我在这里回答我的问题,而可悲的是提供小于满意的答案,但似乎从我所发现的唯一可用的...
没有办法阻止一些防 - 虚假标记Auto Hot Key,AutoIt和其他脚本/解释代码的病毒程序。我尝试了很多方法,没有任何工作。
最好的办法似乎是避免使用自动热键,AutoIt等,如果可以的话,如果您必须使用VirusTotal上的计划发布的设置文件,以了解什么警告你的潜力用户将收到。根据我对病毒总计使用的40多种病毒扫描程序的经验,只有1-4版本通常会将自动热键包含的代码视为可疑,而这些代码通常是不受欢迎的,不熟悉的病毒扫描程序,需要更少的资源(就自己的人力,编码和签名使用而言)。
Trik提供的forums如下回答:
在AutoHotkey的文件夹(在 PROGRAMFILES持有)出现在该文件夹命名为“编译”子文件夹 是 文件名为“UPX .exe'将其重命名为 类似upx.old(或任何其他 文件扩展名)。这应该解决 问题。
请评论这是否有效。
我真的很感谢答案,对于人们来说这是一个很好的提示。在我的情况下,我使用AutoHotKey_L和mpress进行压缩和混淆。 (我曾经用UPX经历过误报,就像你说的,后来用另一个应用程序回来了。)我所看到的反病毒问题似乎与行为有关,似乎并不涉及打包程序。例如,启发式“滴管”误报。作为安装的一部分,我的软件*会启动一个无声的EXE。那真的无法避免,但是没有一些AV程序吓坏了,没有办法做到这一点? –
另一个误报包括了一些关于窃取个人数据的信息......显然这太模糊了,我不知道他们可以谈论什么。也许是因为下载管理器从文件服务器获取文件,理论上我可以发送数据。再次,不知道如何说服他们没关系。 –
+1伟大的问题:) – Mehrdad
在这些情况下向AV报告并不实际。你有没有考虑过使用UPX或其他可执行的打包程序?它会改变结果吗? – 0xC0000022L
@STATUS_ACCESS_DENIED:这通常不会使情况变得更糟吗? – Mehrdad