Антивирус ложный положительный в моем исполняемом файле

Андреас отвечает отлично; это просто случается с приложениями Delphi.

Код подписи не имеет никакого значения - у меня NOD32 выдавал ложные срабатывания на подписанный код Delphi.

Если бы были какие-либо методы, которые позволили бы избежать ложных срабатываний, авторы вирусов будут использовать их, чтобы избежать обнаружения.

Я нашел, что лучший способ действий, к сожалению, скорее реактивный, чем инициативный. У всех поставщиков AV есть возможность сообщать о ложных срабатываниях, и я обнаружил, что они реагируют на отчеты.

У многих честных разработчиков проблемы из-за небрежного антивирусного программного обеспечения. Смотрите также: Как предотвратить ложноположительную вирусную сигнализацию на моем программном обеспечении?

Представьте, что для каждого ложного позитива, который они показывают, вы теряете возможного клиента. Программисты должны принять меры против таких антивирусных продуктов и заставить их быть более осторожными относительно ложных положительных сигналов тревоги, даже чтобы получить некоторый доход для продаж, которые мы теряют из-за них.

Обновление:
Недавно я заметил, что:

• Количество ложных срабатываний на VirusTotal.com намного выше при компиляции программы - это "Режим выпуска" (с оптимизацией компилятора), а затем, когда он скомпилирован в "режиме отладки".
• Обнаружение небо ракет при использовании EurekaLog.

Итак, отправляйте в VirusTotal, прежде чем публиковать свою программу!

В Free Pascal/Lazarus и bugtracker такие сообщения происходят почти каждый выпуск и/или месяц.

Обычно мы рекомендуем пользователям игнорировать все "общие" или "эвристические" типы сканирования и придерживаться сканирования подписи (как это делают большинство корпоративных вирусов).

Это потому, что это почти всегда эвристические сигналы тревоги, а не конкретные вредоносные программы. Это легко увидеть в том факте, что обнаруженный "вирус/троян" почти всегда относится к "родовому" типу. Обычно virusscanners также являются типичными "домашними" vivusscanners или домашними изданиями общих vivusscanners (Norton был особенно плохим, в настоящее время он в основном представляет собой "дешевые" домашние сканеры меньшего масштаба)

Однако мы общаемся в основном с разработчиками и уже имеем проблемы с получением этого сообщения. Я могу себе представить, что при распространении незнакомых конечных пользователей это настоящее сложное сообщение для общения.

Тем не менее, другого пути нет.

Существует несколько причин, по которым продукт Anti Virus может запускаться на выпущенном Delphi exe, несколько общих причин:

• В Delphi написано много вирусов, поэтому ваш exe может иметь некоторые части кода, которые выглядят так же, как существующие вирусы.
• Таблица импорта вашей программы используется для определения того, что может сделать ваш exe, например, ссылка на функции Credentials Management или Disk Management запускает некоторые AV файлы.

Как было предложено, прежде чем пытаться сканировать свою версию выпуска с помощью онлайн-сервисов, таких как Virustotal или Jotti и всегда сообщайте свои ложные срабатывания поставщикам вместо того, чтобы пытаться помешать ложному срабатыванию. Мой опыт заключается в том, что поставщики AV довольно быстро реагируют на передачу.

В качестве решения вы можете:

1 - Убедитесь, что ваш компилятор Delphi не заражен
2 - Проверьте, что ваши источники и библиотеки не закалены (это было MO для Induc Virus)
3 - Проверьте (гарантированный) чистый EXE с помощью AV. Если они сообщают о ложном положительном результате, свяжитесь с ними, чтобы они могли исправить свои тесты.

4 - Если вам нужно распространять до того, как есть возможность исправить AV файлы, подпишите exe, чтобы ваши пользователи могли проверить его на чистоту.