Inoffizielles deutsches Xbase-Forum

Hi,

ich habe eben im PowerBasic Forum gelesen, dass man mit der Definition von Resourcen die falschen Virusmeldungen von EXE Dateien reduzieren bzw. abstellen kann.
Das wollte ich genauer wissen ... Bitdefender scannt DBUPDATE.EXE (ohne Resourcen) Fehlermeldung Trojaner.Heur....
Nun habe ich diese ARC dazugelinkt:
neu compiliert und die EXE erneut untersucht, keine Fehlermeldung keine verdächtigen Programme ...

das würde erklären, warum ich beim compilieren im Verzeichnis die eine EXE erzeugen konnte (Hauptprogramm hat Versionsresourcen) und die Andere zur Fehlermeldung führte.

Wie sind eure Erfahrungen ?

Hallo, Hubert -


Trojaner.heur steht für "Heuristik", d.h. der Virenscanner rät, dass aufgrund eines speziellen Musters in der Datei das Programm ein Trojaner sein könnte. Wenn Du nun Resourcen dazulinkst, ändert sich die Struktur des Programms (ob gross oder klein, lasse ich dahingestellt).

Und jetzt gibt es drei Möglichkeiten:

a) der Virenscanner hat zwischendurch ein Update seiner Signaturen erfahren und macht den Unfug nicht mehr;
b) die Änderung im Aufbau des Programms führt dazu, dass das Muster nicht mehr zutrifft: keine Fehlermeldung mehr;
c) die Änderung im Aufbau des Programms führt zu keiner signifikaten Änderung, die Fehlermeldung kommt weiterhin.

Tom hatte es bereits mehrfach erwähnt, dass man die Pfade, in denen man entwickelt, vom Viren-Scannen ausschliessen sollte.

Hallo Georg,

nun ich habe zuerst die alte EXE probiert (Fehlermeldung), dann neu kompiliert und keine Fehlermeldung.
Im Prinzip gebe ich dir Recht, aber es könnte eine weitere Möglichkeit geben.

Versionsresourcen in EXE Dateien könnten als Hinweis gewertet werden, dass es KEIN Trojaner ist, weil der sowas nicht macht ... ob das so ist weiß ich aber nicht.

Ich habe auch die Entwicklungspfade vom Scannen ausgeschlossen (im obigen Test aber die EXE direkt testen lassen), aber spätestens wenn es an die Auslieferung geht,
kann man das ja nicht mehr verlangen ... "Virenscanner taugen eh nicht, einfach abschalten ..." wirkt äußerst seriös

die Idee war einfach Erfahrungen damit zu sammeln, wenn jemand so seine Fehlermeldungen weg bekommt, einfach berichten und wenn dennoch Probleme auftreten, eben auch.
Es kostet ja nix

Hallo,


also ein Weg ist es, die entsprechende Datei nach VirusTotal.com zu laden (inzwischen einen Google-Tochter). Die lassen dann alle marktgängigen Virenscanner die Datei untersuchen und geben Dir einen Link zum Ergebnis, wo man sehen kann, welche Virenscanner welche Ergebnisse produzieren.

Und da werden wir bei unseren Programmen in dem meisten Fällen "generic" finden, d.h. aufgrund irgendwelcher statischen Eigenschaften.

Ob das einem unsicheren Kunden aber weiterhilft, der durch die Meldung seines Virenscanners total irritiert ist, kann ich nicht beurteilen.

Man kann natürlich alle möglichen Tricks ausprobieren, scheitert aber, wenn man eine solche vermeintliche Lösung gefunden hat, dann wieder mit dem nächsten Update.

Ich kann nur empfehlen, die ausführbaren Dateien zu signieren. Das kostet zwar - beispielsweise via Symantec - um die 600 Tacken pro Jahr, erspart aber eine Menge Ärger.

Tom hat geschrieben:Ich kann nur empfehlen, die ausführbaren Dateien zu signieren. Das kostet zwar - beispielsweise via Symantec - um die 600 Tacken pro Jahr

einer Firma, die Software verkaufen will bleibt wohl nichts anderes übrig. Ähnlich wie die Zertifikate bei HTTPS Servern.

Privat habe ich mir für letztere mein eigenes Zertifikat erstellt und in meinem Browser als Ausnahme importiert.
So kann ich verschlüsselt auf meine eigenen Web-Seiten zugreifen, ginge sowas "für den Hausgebrauch" bei Software auch ?

Im Prinzip ja, aber ich meine, dass sich die Virenscanner darum wenig scheren würden.