1. Accueil
  2. Question et réponse
  3. Éviter les faux positifs d'antivirus dans les fichiers de données

Éviter les faux positifs d'antivirus dans les fichiers de données

2011-05-02 4 views
2

Un fichier de données utilisé par l'une de mes applications a été récemment mis en quarantaine par Symantec Antivirus (la signature déclenchée était 'Nightfall.5815'). Le fichier est écrit et lu dynamiquement, et le contenu est arbitraire.Éviter les faux positifs d'antivirus dans les fichiers de données

Est-il possible pour mon application d'éviter que ces fichiers déclenchent des analyses AV?

Je suis au courant de otherquestions sur SO en ce qui concerne les faux positifs, mais ils apparaissent la plupart du temps à se préoccuper de fichiers exécutables et Delphi. La plupart des réponses à ce type de question impliquent de contacter les fournisseurs AV pour signaler le faux positif. Dans mon cas, il s'agit d'un fichier de données arbitraires que je dois protéger de la mise en quarantaine. Je ne suis donc pas sûr qu'un seul rapport et une seule résolution m'empêcheraient de le déclencher à nouveau dans le futur. Je suis intéressé s'il existe des approches générales pour éviter cela du point de vue de l'application (autorisations de fichiers différentes, modification du format de fichier), ou s'il existe un moyen d'y remédier en excluant éventuellement un répertoire de l'analyse.

Source

2011-05-02 Adam Holmberg

+1

Les paquets antivirus sont la pire infection de tous. Les effets sur la stabilité du système laissent à penser que le remède n'est pas pire que la maladie. –

Répondre

0

Si vous pouvez systématiquement déclencher le ou les antivirus sur un fichier, essayez de remplir le début du nombre x d'octets du fichier avec tous les 0 (par exemple). Je me demande si les antivirus détectent des séquences particulières d'octets à des positions particulières ou si une séquence d'octets certainement serait toujours considérée comme mauvaise.

Sinon, l'exclusion du répertoire de l'analyse antivirus est la meilleure option.

Source

2011-05-02 18:19:56

+0

Merci Will. Le rembourrage était l'une des choses que je considérais, mais je ne suis pas sûr que le fichier a déclenché ce faux positif. Je ne suis toujours pas sûr que cela me protège des déclenchements latents étant donné que mes données sont arbitraires. Je poursuis maintenant l'exclusion, même si je ne suis pas certaine que mon organisation le permette. –

0

Selon la terminologie de kaspersky (Virus.DOS.NightFall.5815), ce virus semble être un ancien infecteur de fichier DOS. Les entreprises audiovisuelles ont souvent signé d'anciens virus afin d'améliorer leurs scores dans les processus de certification AV tels que AV-Comparatives ou ICSA. Ils utilisent des techniques d'appariement de motifs pour détecter une séquence d'octets définie. Malheureusement, la séquence est parfois faible et crée trop de faux positifs. Je pense que vous avez juste eu de la malchance avec votre fichier dat.

Vous pouvez essayer de changer le codage de fichier, puis la séquence changera et ne sera pas capturée par la signature faible. Afin de vérifier si votre fichier fonctionne correctement, lancez-le à l'aide d'un scanner croisé AV tel que Jotti.

Source

2011-05-09 13:07:51 Roubachof

Questions connexes

 Questions connexes