【问题标题】:Avoiding Antivirus False-Positives in Data Files避免数据文件中的防病毒误报
【发布时间】:2011-08-17 04:08:36
【问题描述】:

我的一个应用程序使用的数据文件最近被 Symantec Antivirus 隔离(触发的签名是“Nightfall.5815”)。 文件动态读写,内容为任意数据。

我的应用程序有什么方法可以避免这些文件触发 AV 扫描吗?

我知道关于 SO 的 other questions 涉及误报,但它们似乎主要与可执行文件和 Delphi 有关。此类问题的许多答案都涉及联系 AV 供应商以报告误报。就我而言,这是一个我需要防止隔离的任意数据文件,因此我不确定单个报告和解决方案是否会阻止我将来再次触发。我很感兴趣是否有任何通用方法可以从应用程序的角度避免这种情况(不同的文件权限、更改文件格式),或者是否有办法通过可能从扫描中排除目录来解决这个问题。

【问题讨论】:

  • 防病毒包是最严重的感染。对系统稳定性的影响让人想知道治愈方法是否不比疾病更糟。

标签: windows antivirus false-positive


【解决方案1】:

根据卡巴斯基的术语 (Virus.DOS.NightFall.5815),这个病毒似乎是一个老旧的 dos 文件感染者。 AV 公司经常签署旧病毒,以提高其在 AV-Comparatives 或 ICSA 等 AV 认证过程中的分数。

他们使用模式匹配技术来检测定义的字节序列。 不幸的是,有时序列很弱并且会产生过多的误报。 我认为你的 dat 文件真的很糟糕。

您可以尝试更改文件编码,然后序列会改变,不会被弱签名捕获。 为了检查您的文件现在是否正常,请通过像 Jotti 这样的 AV 交叉扫描仪运行它。

【讨论】:

    【解决方案2】:

    如果您可以始终让防病毒软件在文件上触发,请尝试用全 0 填充文件的开头 x 字节数(例如)。我想知道防病毒软件是否会在特定位置检测特定的字节序列,或者是否总是认为一定的字节序列是坏的。

    否则,从病毒扫描中排除目录将是最佳选择。

    【讨论】:

    • 谢谢威尔。填充是我正在考虑的事情之一,但我不确定文件是什么触发了这个误报。鉴于我的数据是任意的,我仍然不确定这是否会保护我免受潜在触发器的影响。我现在正在寻求排除,尽管我不确定我的组织是否允许这样做。
    猜你喜欢
    • 1970-01-01
    • 1970-01-01
    • 2011-03-21
    • 1970-01-01
    • 1970-01-01
    • 2014-06-23
    • 1970-01-01
    • 2013-05-08
    相关资源
    最近更新 更多