실행 파일이 AV에서 나쁘거나 바이러스처럼 취급되는 것을 방지하는 방법은 무엇입니까?


15

Windows에서 실행되고 클라이언트의 PC에서 자동 업데이터 및 파일 검증기로 작동하기 위해 Windows에서 실행되고 게임의 실행기처럼 작동하는 소프트웨어를 만들고 있습니다.

내가 이해하지 못하는 한 가지 이유는 왜 내 바이러스 백신 소프트웨어 (Avast)가 내 exe 파일을 위험한 것으로 간주하고 안전한 사용을 위해 샌드 박스에 넣지 않고 시작하지 않을 것입니다.

소프트웨어가 준수해야하거나 좋은 것으로 취급하기위한 규칙이 있습니까, 아니면 디지털 서명 및 기타 자료에 대해 수백 달러를 지불해야합니까?

MS Visual Studio 2010에서 C #을 사용하고 있습니다.

VirusTotal 보고서 . WebClient () 클래스를 사용하여 원격 파일 다운로더로 작동하는 DLL 삽입이 없습니다.

바이러스에 대해 경고하는 것과는 다르지만 샌드 박스를 "제안"합니다. 스크린 샷을보십시오 :여기에 이미지 설명을 입력하십시오


1
앱을 의심스러운 공급 업체 수에 대한 인상을 받으려면 먼저 프로그램을 virustotal.com 에 업로드하는 것이 좋습니다 . 모든 AV 프로그램이 앱에 플래그를 지정하면 AV 프로그램이 의심스러운 것으로 간주 할 수있는 코드의 작업을 찾아야합니다. AV 공급 업체가 사용하는 휴리스틱을 결정하는 것은 사실상 불가능합니다. 한두 가지에 불과한 경우 오 탐지를보고 할 수 있습니다 (웹 사이트 또는 Google 'vendorname report false positive'확인). 이것의 단점은 모든 소프트웨어 릴리스에서이 작업을 수행해야한다는 것입니다.
Jan Doggen

DLL-Injection 관련 활동을 수행하고 있지 않습니까?
l46kok

컴퓨터가 바이러스에 감염되지 않았는지 확인하십시오. 감염이없는 한 그 행동을 본 적이 없습니다.
Sam

4
AV가 만족되거나 코드가 남지 않을 때까지 코드에서 기능 제거를 시작할 수 있습니다 (둘 중 먼저 발생). 제거가 AV를 만족스럽게 만든 부분을 확인해야합니다.
ugoren

1
개발 중에 만 문제가 발생합니까? 컴파일러가 실행 파일을 생성 할 때 많은 시간 동안 직장에서 그 문제를 겪었습니다. 그렇다면 실제로 솔루션은 안티 프로그램 소프트웨어를 제거하는 것입니다.

답변:


22

"파일 유병률 / 평판이 낮다"는 의미는 Avast가 프로그램 사용에 따라 평판 시스템을 사용한다는 의미입니다. 충분한 사용자가 프로그램을 설치하고 '자비로운 것으로 표시'한 경우에만 좋은 평판을 얻게되고이 제안은 사라질 것입니다. Avast는이를 FileRep 클라우드 기능 이라고하며 "알려지지 않은 모든 새로운 파일은 잠재적으로 위험합니다. 파일이 널리 보급 될 때마다 더 이상 AutoSandbox를 실행할 이유가 없습니다"라고 말합니다. 이것은 소규모 소프트웨어 회사를위한 PITA입니다 (Avast는 시만텍의 의심스러운 통찰력 (Suspicious Insight ) 과 같이이 기능을 수행하는 유일한 회사는 아닙니다 ).

로컬로 (컴퓨터에서) 자동 샌드 박스 전문가 설정으로 이동하여 평판이 낮은 자동 샌드 박스 파일을 비활성화하거나 자체 서명 된 인증서를 사용할 수 있지만 최종 사용자에게는 도움이되지 않습니다. 그런 사람들을 위해 실제 인증서 (비용은 들지만 Windows도 좋아합니다)를 사용 하고이 정보로 문서를 업데이트하는 것이 좋습니다. Avast 포럼 에서도
더 많은 제안이있을 수 있습니다.


비슷한 문제가 있습니다. @Deele 어떤 디지털 서명 솔루션을 사용 했습니까? 나는 이것을 위해 $ 50 이상을 가지고 있지 않습니다 ...
Basj

0

Jan Doggen의 말에 덧붙여 다른 안티 바이러스 소프트웨어도 휴리스틱 스캔을 수행합니다.

안티 바이러스 검사는 특정 실행 파일이 알려진 바이러스의 정확한 사본인지 여부를 찾는 것이 아닙니다. 그것은 쉽게 우회 될 수있다. 이제 AV 툴은 툴이 넷 라이브러리를 사용하고, 파일 액세스 / 수정을 수행하고, 런타임에 자체 암호화 / 복호화하는 등 내부 알고리즘 (휴리스틱)에 따라 특정 동작을 검사하여 위험을 내뿜습니다. .

다양한 AV의 허위 탐지를 방지하는 한 가지 방법은 서명 난독 화로 알려진 것입니다. 기본적으로 다른 기술은 AV 도구가 실행 파일에 포함 된 특정 바이트 스트림 (서명)이 있는지 여부를 확인한다는 것입니다. 발견되면 바이러스를 알게됩니다. AV 소프트웨어가 사용하는 수십억 개의 서명 중 하나를 포함 할 수있는 (실행 가능한) 코드를 생성 할 수 있습니다. 해당 특정 부분을 제거하려면 실행 파일을 전반 부분, 다른 절반 부분으로 나누고 다시 스캔 한 다음 서명이 포함 된 부분을 찾을 때까지 프로세스를 반복하여 실행 파일에서 이진 검색을 수행해야합니다. 일단 발견되면 약간의 비트를 뒤집어 여전히 감지되는지 확인하십시오. 더 안전한 방법은 소스 코드를 변경하고 해당 위치에서 다른 바이트 스트림을 추출하는지 확인하는 것입니다.

개발중인 소프트웨어 유형에 따라이 문제가 100 % 발생합니다.

당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.