私のアプリケーションの1つで使用されているデータファイルは、最近、Symantec Antivirusによって隔離されました(トリガーされた署名は「Nightfall.5815」でした)。ファイルは動的に読み書きされ、内容は任意のデータです。
これらのファイルがAVスキャンをトリガーするのを回避する方法はありますか?
誤検知に関するSOに関する他の 質問を知っていますが、それらは主に実行可能ファイルとDelphiに関係しているようです。このタイプの質問に対する回答の多くは、AVベンダーに連絡して誤検知を報告することを含みます。私の場合、これは検疫から保護する必要のある任意のデータファイルであるため、単一のレポートと解決策によって、将来再びトリガーされるのを防ぐことができるかどうかはわかりません。アプリケーションの観点からこれを回避するための一般的なアプローチ(異なるファイル権限、ファイル形式の変更)があるかどうか、またはスキャンからディレクトリを除外することでこれに対処する方法があるかどうかに興味があります。
アンチウイルスを一貫してファイルでトリガーできる場合は、ファイルの最初のxバイト数にすべて0を埋めてみてください(たとえば)。アンチウイルスが特定の位置で特定のバイトシーケンスを取得するのか、それとも確かにバイトシーケンスが常に悪いと見なされるのか疑問に思っています。
それ以外の場合は、ウイルススキャンからディレクトリを除外するのが最善のオプションです。
kaspersky の用語 (Virus.DOS.NightFall.5815) によると、このウイルスは古いタイマーの DOS ファイルに感染するようです。AV 企業は、AV-Comparatives や ICSA などの AV 認定プロセスのスコアを向上させるために、古いウイルスに署名することがよくあります。
定義されたバイト シーケンスを検出するために、パターン マッチング技術を使用します。残念ながら、シーケンスが弱く、誤検知が多すぎる場合があります。私はあなたのdatファイルに本当に不運があったと思います.
ファイルのエンコードを変更しようとすると、シーケンスが変更され、弱い署名によってキャプチャされなくなります。ファイルが正常に動作しているかどうかを確認するには、 Jottiなどの AV クロススキャナーで実行します。