Исправить антивирусное обнаружение моего программного обеспечения
Я написал программу (Mimer 1.1 - http://sourceforge.net/projects/mimer/files/) и после 3000 загрузок обнаружил, что мой собственный антивирус Nod32 обнаруживает мою программу как троян Win32/Agent.NFIWJLP. В моей программе есть подпрограмма на C++, которая создает системную ловушку для наблюдения за движениями и событиями клавиатуры и мыши в системе (похоже на регистратор клавиш, но это не то, для чего она предназначена).
Кто-нибудь рекомендует мне что-нибудь сделать, чтобы моя программа не удалялась антивирусом пользователя?
Что делает моя программа, так это то, что она может имитировать взаимодействие пользователя с ПК в запланированное время.
7 ответов
Свяжитесь с ESET и сообщите о ложном предупреждении. Если сообщается о новой версии, сделайте это снова. Единственный способ, которым они будут учиться.
Например, сообщество AutoHotkey имеет ту же проблему.
Редактировать:
Я сканировал DoNotRun.exe на Scan4You.net, и 9/32 AV обнаруживают его. (см. отчет)
- ArcaVir
- Авира АнтиВир
- COMODO Internet Security
- ИКАРУС Безопасность
- Антивирус Касперского
- ESET NOD32
- A-Squared
- VBA32 Антивирус
Потребуется много времени, чтобы связаться со всеми из них, но вариантов мало. Вы можете использовать вредоносный шифратор, чтобы скрыть файл (скорее всего, это плохая идея, в зависимости от того, как вы к этому подходите), но это не будет длиться вечно, или вы можете попробовать изменить источник C, чтобы пропустить обнаруженные детали, или использовать более высокий уровень язык
Вы должны связаться с ESET (компания, которая стоит за NOD32), используя их контактную форму. Если вы указываете, что у вас есть проблемы с Threat/Error Messages, вы можете указать, что вы нашли Harmless file flagged as threat,
Лучше всего написать электронное письмо авторам антивируса и сообщить им о ложном срабатывании.
Большинство хороших антивирусных компаний реагируют на такого рода электронные письма, удаляя обнаружение. Однако, если ваша программа обнаружена по сигнатуре, написанной для другого вируса, вам может быть трудно убедить их изменить свои сигнатуры обнаружения или переместить вашу программу в их набор настроек.
Что вы можете сделать немедленно, так это каким-то образом заметить пользователям, что ваша программа может быть обнаружена антивирусами как вирус. Таким образом, они будут предупреждены, и они могут убедиться, что он не будет удален. Если ваша программа с открытым исходным кодом, то любой может убедиться, что она не делает ничего плохого.
Помимо обращения в ESET, возможно, стоит обратиться к другим поставщикам антивирусов, таким как Avast, Kapersky и т. Д.
Если одна программа его подбирает, то есть вероятность, что другие тоже.
Вы также можете попробовать некоторые методы, такие как упаковка приложения с помощью UPX или использование приложения, такого как Smart Assembly, чтобы изменить способ сохранения всего EXE-файла. Наверняка не мешает попробовать
Антивирусное программное обеспечение использует эвристику, чтобы определить, является ли файл вирусом или нет, основываясь на его действиях. Системный хук на клавиатуре и мыши определенно будет отображаться как флаг.
Я не думаю, что вы должны упаковать свою программу, потому что это также подняло бы флаг. Ваше программное обеспечение с открытым исходным кодом, поэтому вы должны просто включить в README уведомление, в котором говорится, что некоторые AV обнаруживают его из-за перехватывания системы, и указывать строку / файл, где расположен этот код.
У многих честных разработчиков возникают проблемы из-за неосторожного антивирусного программного обеспечения. См. Также: Как предотвратить ложное срабатывание вирусов на моем программном обеспечении?
Представьте, что для каждого ложного положительного результата, который они показывают, вы теряете возможного покупателя. Может быть, мы сможем объединиться против таких антивирусных продуктов и заставить их быть более осторожными в отношении ложно-положительных сигналов тревоги, даже чтобы получить некоторую прибыль от продаж, которые мы теряем из-за них.