問題タブ [false-positive]

当社の Web サイトから InstallShield EXE としてダウンロード可能な Windows プログラムを提供しています。

IE9 を実行しているユーザーがソフトウェアをダウンロードして実行しようとすると、画面の下部に次のメッセージが表示されます。

http://blogs.msdn.com/b/ie/archive/2011/03/22/smartscreen-174-application-reputation-building-reputation.aspxを読みました

それは示唆しています：

• Authenticode 署名を使用してプログラムにデジタル署名します。
• ダウンロードがマルウェアとして検出されないようにします。
• Windows ロゴを申請します。

私たちは 3 つのことをすべて行いました。私たちの EXE は Authenticode 署名でデジタル署名されています (警告メッセージの上のバーは赤色ではなくオレンジ色で、IE9 が署名を認識して検証したことを示しています)。私たちのダウンロードは、私たちが試したウイルス対策プログラムによってマルウェアとして検出されませんでした. そして、Windows ロゴを申請し、受け取りました。

今のところ、ほとんどのお客様は IE 9 を使用していません。これについて他に何かできることはありますか? それとも、このメッセージが消える前に、クリティカル マスの顧客がこのソフトウェアをダウンロードするまで待つ必要がありますか?

(これは、新しいバージョンをリリースしたときに、IE 9 のすべてのユーザーが、十分な数のダウンロードが完了するまで、このメッセージを再び受け取るということですか?)

2011 年 6 月 14 日更新:

ありがとう、@ EricLaw-MSFT。URL はhttp://dakim.dakiminc.netdna-cdn.com/DakimBrainFitness.exeです。( http://www.dakim.comの「Download Free Trial」ボタンにあります。)

しばらくの間、ダウンロード可能な試用版のみを提供しています。主な配布方法は、インストール DVD です。

junit テストを高速化したいのですが、使用を考えていforkMode="once"ます。

junitは 1 つのプロセス内のすべてのテストに共有クラスローダーを使用しているように見えるため、偽陰性 (静的結合が公開されているため、これは良いことです) と同じ理由で偽陽性が発生する可能性もあります。

これに関して2 つの質問があります。

1. テストケースごとに新しいクラスローダーを強制するために、junitのクラスローダーの動作を変更することは何とか可能ですか? 誤検知と誤検知の両方を回避するために、両方の mdo で junit を実行できることが理想的だと思います。

2. 偽陽性の可能性を減らすためにテスト順序をランダム化することは簡単に可能ですか(ant を使用)

getmodulefilenamew関数は、2番目の引数をバッファとして受け入れるため（この場合は固定サイズ）、誤検知（バッファオーバーフロー）を生成します。

ただし、ドキュメントを確認してください：http: //msdn.microsoft.com/en-us/library/ms683197%28v=vs.85%29.aspx

引用：バッファが小さすぎてモジュール名を保持できない場合、文字列は終了ヌル文字を含むnSize文字に切り捨てられ、関数はnSizeを返し、関数は最後のエラーをERROR_INSUFFICIENT_BUFFERに設定します。

信頼できる第三者機関として、この問題を誤検知として確認または拒否できますか。ご協力いただきありがとうございます！

===

===

問題はGetModuleFileNameW関数の行です

スキャンはVeracode静的アナライザーによって提供されました。

失敗すると予想される rspec テストがありますが、テスト中のコードが rspec が発生させた例外をレスキューするため、合格しています。状況の例を次に示します。

rspec ファイルで:

実行が「object.save!」に到達していることはわかっていました。したがって、テストは失敗するはずですが、テストは成功します。レスキュー ブロックでデバッガーを使用すると、次のことがわかります。

したがって、基本的にテストは失敗しますが、テストしようとしているコード自体によって失敗が抑制されています。このコードが Rspec 例外を飲み込むのを止める実行可能な方法が、何らかの形でコードを危険にさらすことなしにわかりません。例外が Rspec 例外であるかどうかをコードで明示的にチェックしたくありません。これは設計が悪いためです (テストはコード用に作成する必要があり、コードはテスト用に作成するべきではありません)。しかし、通常の運用環境で発生する可能性のあるものは何でもキャッチしたいので、例外がキャッチしたい特定のタイプであることも確認できません。

私の前に誰かがこの問題を抱えていたに違いありません！解決策を見つけるのを手伝ってください。

何年も横たわっていたこのような単純な古いプログラムが、時々アンチウイルスを作動させるのはなぜですか? これは、コンパイルされた exe ファイルを取得し、それが gen/dropper かそのようなものである可能性があると述べました。

コードは次のとおりです。

ウイルス スキャナーの原因は何ですか? より正確には、それを回避するにはどうすればよいですか?

ClassGeneratedParent.java で Java 注釈プロセッサを実行することによって ClassGenerated.java が生成され、ClassA が ClassGenerated と ClassGeneratedParent の両方をインポートするとします。

実行時javac ClassA.java ClassGeneratedParent.java(javac によってオンザフライで生成される必要があるため、ClassGenerated.java は指定しません)、ClassA は、シンボル ClassGenerated が見つからないことを訴えますが、コンパイルは引き続き成功し、ClassA だけでなく ClassGenerated.java もあります。クラス、ClassGeneratedParent.class、および ClassGenerated.class です。

javac -proc:only ClassGeneratedParent.java誤ったインポート コンパイル エラーを回避するために、最初に実行してから 2 回に分割することもできjavac ClassA.java ClassGeneratedParent.java ClassGenerated.javaますが、どのファイルを前処理する必要があるかを覚えておく必要があり、それを覚えておく必要はありません。javacの出力を汚染する誤ったインポートコンパイルエラーを回避する別の方法はありますか?

重複の可能性：
実行可能ファイルでアンチウイルスの誤検知

現在、1つのアプリケーションがアバストとClamAVによるウイルスの誤検知によって検出されています（後者については聞いたことがありません）。

両方に連絡して返事を待っていますが、時間がかかると思います（今は24時間++）。では、コードの一部が誤って検出されていないかどうかを確認するためのリソースを探しているのですが、個人的には、私とある時点でウイルスを作成した人が単にサンプルコードを持っていると思いますか？

私には技術的な能力がないので、AVを無効にして、どの署名がトリガーされているかを見つけることができます（そして、企業がこの情報を保護していると思います）。つまり、私の質問は要約すると、コードの一部が検出されていることを確認するために使用できるリソースはありますか？

追加情報：

• VirusTotalsへのリンク：
• 私のアプリケーションはデジタル署名されており、「私の」署名は少なくともMSで肯定的な評価があり、ブラックリストに載っていると誰もが不満を言うのを聞いたことがありません。
• 私のアプリケーションには、バックグラウンドの更新チェックとエラー報告があります（更新チェックはhttp経由で行われます）
• ウイルスのコンパイルに使用したコンピューターをコース外でスキャンしました（MSとNOD32の両方）
• アプリケーションは、インストーラーではなくzip形式で圧縮されている場合でも、誤検知として検出されます。
• 私のアプリが誤って検出されているものに関する情報へのリンク（Thx to Flanfl）

投票する人は、 https：//stackoverflow.com/questions/3339136/antivirus-false-positive-in-my-executableというトピックを実際に読んでください。1つはDelphiコーディングに関するものです。私のは一般的で、私の場合に役立つ2つの実際の返信があります。

分数を変更するプログラムを作成しようとしていますが、負の "-" が 1 回だけ正しく出力されるようにする必要があります。ユーザーが分子と分母を入力し、両方を負として入力すると、-1/-2 を表示できません。ネガが 1 つだけの場合も同様で、1/-2 を表示できません。私が思いついた解決策は、Math.abs を使用して num と den の両方から負を削除し、出力中に負を追加することです IF Math.abs は一度だけ使用する必要がありました。2 回使用された場合は、マイナスを削除して num と den のみを出力するロジックを含めます。 Math.abs が使用された頻度をカウントし、ユーザーが num または den のいずれか、またはその両方に正の数を入力したときに誤検知が表示されるのを防ぐにはどうすればよいですか。

現時点で私のコードは絶対値に変換する作業のみを行っているため、カウントを維持するために表示するものは何もありません。

*ここで、num はユーザーが入力した数値で、snum は abs に変換された数値です。

どんな助けでも大歓迎です。

ありがとう、INGUES

複数のアンチウイルスアプリ（これまでのところAVGとノートン）によって「疑わしい動作」としてフラグが立てられているC＃アプリがあります。私はこれについての経験がなく、「疑わしい」と思われることがたくさんあります（レジストリアクセス、名前付きパイプを使用したローカルサービスとのIPC、ローカルアプリデータフォルダへのファイルのコピーなど）が、私はどこから始めればいいのかわからない。

アプリが私のアプリがウイルスであるとかウイルスに感染していると言っているのではなく、疑わしいと言っていることに注意してください。

アプリのどの部分がこれらの問題を引き起こしているのかを知るにはどうすればよいですか？

XCode3.2のXCode静的コードアナライザーで問題が発生しました。それは私が見つけた潜在的なリークが正当化されていないことを示しています。他の人に確認して、それが本当に誤検知であることを確認したいだけです。

メインコードは次のとおりです（一部の関数本体）：

上記のvalidateメソッドは次のとおりです。

XCodeは、validateメソッドがNOを返す可能性があり、リリースがdocに送信されないため、docの割り当てがリークの可能性があることを示しています。しかし実際のところ、初期化が失敗した場合、initWithData：options：によってnilが返され、害は発生しません。ドキュメントにもこれが記載されています。

それで、専門家は何と言いますか？誤検知かどうか？

最高、ハラルド