問題タブ [virus-scanning]

アプリが最も人気のあるウイルス対策パッケージによってウイルスとしてフラグ付けされているかどうかを確認する必要があります (最高ではありませんが、ユーザーベースで最大)。したがって、他の人がこれについてどのように行っているかを知りたいです。背景:

Delphi で書かれたアプリケーションがあります。Delphi ウイルスが発見されて以来、アプリケーション、特に何らかの理由でデモ バージョンで誤検出の問題が発生しました (それらはすべて同じコードを共有しています)。AVG は良好で、ファイルを簡単にホワイトリストに登録できるようになりましたが、最新の DevExpress インストーラーを入手したところ、これも誤検知されました。これがますます広まっていることを考えると、自分のアプリが最も人気のあるウイルス対策パッケージによってフラグ付けされているかどうかを確認する必要があることに気づきました。したがって、他の人がこれについてどのように行っているかを知りたいです。人々が私たちのデモ バージョンをダウンロードして、AV の警告を受けて、それを試さないと決めてほしくないのです。

これまでのところ、私が持っている唯一のオプションは、多数の AV パッケージを購入して VM に配置するか、VirusTotalのようなサービスを使用することです。後者は理想的なオプションのように見えましたが、テストを 20Mb 未満のファイルに制限し、私のファイルはこれよりも大きいという事実のためです。機能を拡張するための有料オプションもありません。(これは奇妙な制限だと思いましたが、Kaperskis の無料チェッカーは 1Mb に制限されています!)

どのようにアプリケーションをチェックしますか?

午後の大部分を費やして、一部のプロジェクトをコンパイルして Delphi-2010 IDE 内から実行すると、コンパイルするたびに「セキュリティ リスク - プログラムがコンピューター上で疑わしい動作をしています」という警告が表示される理由を見つけようとしました。

最終的には次のようになりました: - バージョン情報が [プロジェクトにバージョン情報を含める] がオンになっている場合 - そして、Norton Internet Security のソナー技術が疑わしいプログラムとして表示されます (私の PC では、45 秒間待機してプロンプトが表示されます)。IDE の外部からプログラムを実行すると、正常に動作します。

もちろん、Developer Express のサポートにもフラグを立てますが、この問題については、このコミュニティ サイトでも説明しようと考えました。

私はこれをテストする自分の PC しか持っていないので (私のラップトップはまだ Norton Internet Security 2009 を実行しています)、同じ構成を持っている誰かがこれが正しいことをもちろん検証できるなら、私は義務付けられます。

Delphi 7 には同じ問題はありません (または、もっと早く発見できたはずです)。

メインフォームの次のコードをテストとして使用しました。

私の知る限り、インストール後に Norton Internet Security 2010 の設定を変更していません。

Delphi-2010 の最新のアップデートをインストールしました。

Dev.Express スイート v 47 がインストールされています。

更新: 問題は DevExpress ユニットの使用に限定されません。SyntEdit コンポーネントのデモの Main フォルダーにある EC_Edit プロジェクトをコンパイルするときに、同じ問題が発生します。私が判断できる限り（4日間試して特定した後！）、それはDelphi 2010バージョンのクラスユニット（またはクラスで使用されるユニットの1つ）と関係があるということです。

重複の可能性:
C# を使用して Windows でアンチウイルスを検出する

.net では、ウイルス スキャナーが実行されている Windows ボックスを検出できるようにしたいと考えています。

Windows 7 は、"コントロール パネル\システムとセキュリティ\アクション センター" でウイルス スキャナーの状態を報告するため、認識しています。

Javaにはウイルス対策が組み込まれていますか?
私の友人の 1 人は、JVM 自体に「サンドボックス」と呼ばれるものがあると教えてくれました。本当ですか？

ユーザーがサーバー側の Web サイトにアップロードしたファイルをスキャンしたいと考えています。サーバー上で常時実行する必要のない、オンデマンドで実行できるものにしたいと考えています。Windows Server 2008 R2 ではどのようなソリューションを利用できますか? 具体的にどの製品をお勧めしますか？

新しいウイルス対策ソフトウェアの作成に役立つウイルス対策定義データベースを提供するWebサイトはありますか？

そこのシステムにドキュメントファイルをアップロードできる主要なサイトの例を知っている人はいますか？私はこのアップロードを許可することを考えていますが、ユーザーがウイルスをアップロードする可能性が心配です。

誰かがサイトにウイルスをアップロードすると、その評判に影響を与える可能性があるのではないかと心配しています。

代わりにPDFを許可する必要がありますか、それとも何らかの形式のオンサーバーウイルススキャナーが必要ですか（ホスティングベースのclam-avソリューションが利用可能ですか）

重複の可能性:
私の実行可能ファイルでのウイルス対策の誤検知

これまで、私のプログラムには 15 回以上の偽のウイルス アラームがありました。それらのほとんどは Kaspersky からのもので、常に同じウイルス、Trojan-GameThief.Win32.Lmir.pcd を報告しています。3 つの質問があります。

1. なぜそれが現れるのですか？
2. それを防ぐ方法は？
3. それを検出する方法は？

最初の質問については、常に同じウイルスを検出するため、すべてのプログラムで使用しているルーチンの 1 つが原因だと思います。しかし、どれが正確かはわかりません。2 番目の質問については、プログラムを少し変更して再コンパイルすることを考えていました。コードを変更するだけで、アンチウイルスがそれを認識しなくなり、新しいバージョンがリリースされます。3番目の質問は最も難しいものです。世界中のすべてのウイルス対策プログラムに対してすべてのプログラムをチェックする方法は?

更新:
この問題を法的に処理する方法について知っている人はいますか? 多くの Delphi 開発者が同じ問題を抱えているようです。無謀なウイルス対策会社は、多くの誤検出アラームを表示して、実際には危険がなかったのに安全だと顧客に思わせることで、私たちの背中に利益をもたらしています。私たちが顧客を失っている間、彼らは顧客を作っています。問題についてウイルス対策会社に通知しましたが、その特定のバージョンでのみ修正されます。次回アップデートをリリースすると、誤報が再び表示されます。彼らは気にしません。

多くの正直な開発者は、不注意なウイルス対策ソフトウェアのために問題を抱えています。これも参照してください:ソフトウェアの誤検知ウイルス アラームを防ぐには?

そのようなウイルス対策製品に対して団結し、誤検出アラームに対してより注意を払うように強制することができるかもしれません. 嘆願書に署名して、これ以上これを受け入れないことを知らせる必要があります。

Update 2017
* 先週、私のプログラムは VirusTotal で 50% 近くの検出率を記録しました。コードを 1 行削除したところ、魔法のように検出数が 61 のうち 2 (アンチウイルス) に減少しました。これらのウイルス対策製品がランダムに動作するのは驚くべきことです。
* プログラムが「デバッグ モード」でコンパイルされた場合よりも、プログラムが「リリース モード」でコンパイルされた場合 (コンパイラの最適化あり) のほうが、検出率がはるかに高くなります。
* EurekaLog 使用時のスカイロケットの検出。

Update 2019
ほぼ 9 年後ですが、あまり改善されていません。
残念ながら、InnoSetup も例外ではありません。InnoSetup でダミーのインストーラーを作成し、VirusTotal にアップロードしました。52 個のプログラムのうち 5 個が偽陽性を報告しました。

結論：

• 1 日の終わりに、exe ファイルを VirusTotal にアップロードします。検出率が急上昇した場合は、コードで行った変更を確認し、「有害な」変更を削除してください。
• WinRar 3 をインストーラーとして使用します。WinRar 5 または InnoSetup よりも少ないフラグを発生させます。

ClamAV と Python を使用して小さなコマンドライン スキャナーを作成したいと考えています。この問題についていくつかのチュートリアルと手順を試しましたが、これを機能させることができませんでした. 私が読んだことはすべて、ClamAV、Clamd、およびPythonをインストールする必要があると言っています。私は Python と ClamAV を持っていますが、正確にはどこで Clamd を入手できますか? すべてがどのように連携するのですか？どのモジュールを使用すればよいですか? pyclamav または pyclamd?