Virenscanner mit Resourcen bändigen ?

Alles was nicht wirklich Programmierung ist, aber auch nicht Plaudereien im Raucherraum

Moderator: Moderatoren

Antworten
Benutzeravatar
brandelh
Foren-Moderator
Foren-Moderator
Beiträge: 14547
Registriert: Mo, 23. Jan 2006 20:54
Wohnort: Germersheim
Kontaktdaten:

Virenscanner mit Resourcen bändigen ?

Beitrag von brandelh » Di, 13. Aug 2013 10:22

Hi,

ich habe eben im PowerBasic Forum gelesen, dass man mit der Definition von Resourcen die falschen Virusmeldungen von EXE Dateien reduzieren bzw. abstellen kann.
Das wollte ich genauer wissen ... Bitdefender scannt DBUPDATE.EXE (ohne Resourcen) :arrow: Fehlermeldung Trojaner.Heur....
Nun habe ich diese ARC dazugelinkt:

Code: Alles auswählen

LANGUAGE = "de"

VERSION
  "CompanyName"       = "..."
  "FileDescription"   = "DBF Update Tool"
  "ProductName"       = "UPDATEDB"
  "FileVersion"       = "1"
  "ProductVersion"    = "1.00"
  "LegalCopyright"    = "Das Copyright ..."
  "OriginalFilename"  = "UPDATEDB.EXE"
neu compiliert und die EXE erneut untersucht, keine Fehlermeldung :!: :arrow: keine verdächtigen Programme ...

das würde erklären, warum ich beim compilieren im Verzeichnis die eine EXE erzeugen konnte (Hauptprogramm hat Versionsresourcen) und die Andere zur Fehlermeldung führte.

Wie sind eure Erfahrungen ?
Gruß
Hubert

georg
Foren-Administrator
Foren-Administrator
Beiträge: 2200
Registriert: Fr, 08. Feb 2008 21:29

Re: Virenscanner mit Resourcen bändigen ?

Beitrag von georg » Di, 13. Aug 2013 10:55

Hallo, Hubert -


Trojaner.heur steht für "Heuristik", d.h. der Virenscanner rät, dass aufgrund eines speziellen Musters in der Datei das Programm ein Trojaner sein könnte. Wenn Du nun Resourcen dazulinkst, ändert sich die Struktur des Programms (ob gross oder klein, lasse ich dahingestellt).

Und jetzt gibt es drei Möglichkeiten:

a) der Virenscanner hat zwischendurch ein Update seiner Signaturen erfahren und macht den Unfug nicht mehr;
b) die Änderung im Aufbau des Programms führt dazu, dass das Muster nicht mehr zutrifft: keine Fehlermeldung mehr;
c) die Änderung im Aufbau des Programms führt zu keiner signifikaten Änderung, die Fehlermeldung kommt weiterhin.

Tom hatte es bereits mehrfach erwähnt, dass man die Pfade, in denen man entwickelt, vom Viren-Scannen ausschliessen sollte.
Liebe Grüsse aus der Eifel,

Georg S. Lorrig
Vorsitzender des Deutschsprachige Xbase-Entwickler e. V.
Redakteur der Wiki des Deutschprachigen Xbase-Entwickler e.V.

Benutzeravatar
brandelh
Foren-Moderator
Foren-Moderator
Beiträge: 14547
Registriert: Mo, 23. Jan 2006 20:54
Wohnort: Germersheim
Kontaktdaten:

Re: Virenscanner mit Resourcen bändigen ?

Beitrag von brandelh » Di, 13. Aug 2013 11:09

Hallo Georg,

nun ich habe zuerst die alte EXE probiert (Fehlermeldung), dann neu kompiliert und keine Fehlermeldung.
Im Prinzip gebe ich dir Recht, aber es könnte eine weitere Möglichkeit geben.

Versionsresourcen in EXE Dateien könnten als Hinweis gewertet werden, dass es KEIN Trojaner ist, weil der sowas nicht macht ... ob das so ist weiß ich aber nicht.

Ich habe auch die Entwicklungspfade vom Scannen ausgeschlossen (im obigen Test aber die EXE direkt testen lassen), aber spätestens wenn es an die Auslieferung geht,
kann man das ja nicht mehr verlangen ... "Virenscanner taugen eh nicht, einfach abschalten ..." wirkt äußerst seriös 8)
Gruß
Hubert

Benutzeravatar
brandelh
Foren-Moderator
Foren-Moderator
Beiträge: 14547
Registriert: Mo, 23. Jan 2006 20:54
Wohnort: Germersheim
Kontaktdaten:

Re: Virenscanner mit Resourcen bändigen ?

Beitrag von brandelh » Di, 13. Aug 2013 11:21

die Idee war einfach Erfahrungen damit zu sammeln, wenn jemand so seine Fehlermeldungen weg bekommt, einfach berichten und wenn dennoch Probleme auftreten, eben auch.
Es kostet ja nix ;-)
Gruß
Hubert

georg
Foren-Administrator
Foren-Administrator
Beiträge: 2200
Registriert: Fr, 08. Feb 2008 21:29

Re: Virenscanner mit Resourcen bändigen ?

Beitrag von georg » Di, 13. Aug 2013 13:25

Hallo,


also ein Weg ist es, die entsprechende Datei nach VirusTotal.com zu laden (inzwischen einen Google-Tochter). Die lassen dann alle marktgängigen Virenscanner die Datei untersuchen und geben Dir einen Link zum Ergebnis, wo man sehen kann, welche Virenscanner welche Ergebnisse produzieren.

Und da werden wir bei unseren Programmen in dem meisten Fällen "generic" finden, d.h. aufgrund irgendwelcher statischen Eigenschaften.

Ob das einem unsicheren Kunden aber weiterhilft, der durch die Meldung seines Virenscanners total irritiert ist, kann ich nicht beurteilen.
Liebe Grüsse aus der Eifel,

Georg S. Lorrig
Vorsitzender des Deutschsprachige Xbase-Entwickler e. V.
Redakteur der Wiki des Deutschprachigen Xbase-Entwickler e.V.

Benutzeravatar
Tom
Der Entwickler von "Deep Thought"
Der Entwickler von "Deep Thought"
Beiträge: 7287
Registriert: Do, 22. Sep 2005 23:11
Wohnort: Berlin
Kontaktdaten:

Re: Virenscanner mit Resourcen bändigen ?

Beitrag von Tom » Di, 13. Aug 2013 13:47

Man kann natürlich alle möglichen Tricks ausprobieren, scheitert aber, wenn man eine solche vermeintliche Lösung gefunden hat, dann wieder mit dem nächsten Update.

Ich kann nur empfehlen, die ausführbaren Dateien zu signieren. Das kostet zwar - beispielsweise via Symantec - um die 600 Tacken pro Jahr, erspart aber eine Menge Ärger.
Herzlich,
Tom

Benutzeravatar
brandelh
Foren-Moderator
Foren-Moderator
Beiträge: 14547
Registriert: Mo, 23. Jan 2006 20:54
Wohnort: Germersheim
Kontaktdaten:

Re: Virenscanner mit Resourcen bändigen ?

Beitrag von brandelh » Di, 13. Aug 2013 13:56

Tom hat geschrieben:Ich kann nur empfehlen, die ausführbaren Dateien zu signieren. Das kostet zwar - beispielsweise via Symantec - um die 600 Tacken pro Jahr
einer Firma, die Software verkaufen will bleibt wohl nichts anderes übrig. Ähnlich wie die Zertifikate bei HTTPS Servern.

Privat habe ich mir für letztere mein eigenes Zertifikat erstellt und in meinem Browser als Ausnahme importiert.
So kann ich verschlüsselt auf meine eigenen Web-Seiten zugreifen, ginge sowas "für den Hausgebrauch" bei Software auch ?
Gruß
Hubert

Benutzeravatar
Tom
Der Entwickler von "Deep Thought"
Der Entwickler von "Deep Thought"
Beiträge: 7287
Registriert: Do, 22. Sep 2005 23:11
Wohnort: Berlin
Kontaktdaten:

Re: Virenscanner mit Resourcen bändigen ?

Beitrag von Tom » Di, 13. Aug 2013 14:04

Im Prinzip ja, aber ich meine, dass sich die Virenscanner darum wenig scheren würden.
Herzlich,
Tom

Antworten