PNG-Decoder löst Fehlalarm in Antivir aus

[Sebastian]

Das Problem wurde schon im Forum diskutiert: Antivir ist häufig sehr intollerant und löst fälschlicherweise einen Alarm aus. Die beschriebene Lösung: Ausnahmen setzen. Das ist für mich als Programmierer einleuchtend. Das Problem ist nur, dass die Software, sofern png-Dateien verwendet werden, auch für den Endanwender Probleme macht. Das ist nicht akzeptabel. Gibt es eine freie Bibliothek, um PNG-Dateien für PB nutzbar zu machen, damit das Avira-Problem umgangen werden kann?

[HeX0R]

Das wird dich auch nicht wirklich weiter bringen.

Mein History Viewer verwendet auch UsePNGImageDecoder() und es werden überhaupt keine Bedrohungen gefunden.

Man muss sich nun mal ein wenig Mühe geben:
Sobald du eine Version zum releasen fertig hast, lässt du sie per VirusTotal o.ä. von den verschiedenen Virenscannern untersuchen.
Denen, die meckern, musst du deine Datei als False Positive melden.

So musste ich es auch machen, anfangs hatten 5 Scanner angeschlagen.
Nachdem ich es gemeldet hatte (nach einer mehr oder weniger kurzen Zeit), waren die Falschmeldungen verschwunden
und ich konnte releasen.

Meine Befürchtungen ich müsse das für jede weitere Version wiederholen, hat sich bis heute übrigens nicht bestätigt.

Ausserdem:
Wichtig ist als Entwickler eh, dein ganzes Source-Code-Verzeichnis (und dort wo du hinkompilierst) als Ausnahme zum verwendeten Scanner hinzuzufügen.

[NicTheQuick]

Ich hab damit ja keine Probleme, aber ich meine mich daran zu erinnern können, dass Antivir oftmals anschlägt, wenn man beim Testen noch den Debugger verwendet. Ohne Debugger soll es keine oder weniger False Positives geben. Hast du das schon ausprobiert?

[Sebastian]

Ja, das stimmt. Ich habe da auch schon herumprobiert. Durch die Ausnahmen, die ich eingetragen habe, schlägt Antivir dabei nicht mehr an. Allerdings bei dem kompilierten Programm. Wo kann man denn ein ganzes Verzeichnis als Ausnahme eintragen?

Sehr merkwürdig ist auch, dass ich ein anderes Programm geschrieben habe, wo der PNGImageDecoder ebenfalls Verwendung findet, hier jedoch kein Alarm ausgelöst wird...

[c4s]

Ich denke, dass AntiVir ein Problem damit hat, wenn kein Fenster verwendet wird. Ist dies bei dir der Fall?

[Sebastian]

Ja! Das ist tatsächlich der Fall! So einfach? Einfach ein unsichtbares Fenster öffnen und das Problem ist gelöst? Danke für den Tipp!

[Sebastian]

Hmm. Nein, leider funktioniert es nicht.

Code: Alles auswählen

OpenWindow(0,0,0,100,100,"YTSS")
; Variablen

Global QuellGrafik
Global ZielGrafik
Global FileName$

; Initialisierung

 UsePNGImageDecoder()
 UsePNGImageEncoder()


; Hauptprogramm

FileName$ = OpenFileRequester("Wählen Sie die Screenshots aus","", "PNG-Datei | *.png", 0, #PB_Requester_MultiSelection)

While FileName$
  QuellGrafik = LoadImage(#PB_Any, FileName$)
  ZielGrafik = GrabImage(QuellGrafik, #PB_Any, 470, 230, 630, 350)
  SaveImage(ZielGrafik, GetPathPart(FileName$) + "small " + GetFilePart(FileName$),#PB_ImagePlugin_PNG)
  FreeImage(QuellGrafik)
  FreeImage(ZielGrafik)
  FileName$ = NextSelectedFileName()
Wend

MessageRequester("Information", "Programmausführung abgeschlossen.")
End

[Sebastian]

Das ist erstaunlich. Am Fenster liegt es nicht. Es muss der Befehl InitSprite() verwendet werden, dann wird kein Alarm ausgelöst. Woran liegt das?
Allerdings: In meinem anderen Programm verwende ich die Sprite-Umgebung nicht. Das ist doch wirklich sehr merkwürdig...

[ts-soft]

Es liegt daran, das Dein Programm zufällig eine Binärfolge enthält, die die aktuelle Virusdefinition
als Virus erkennt. Austausch des Programmicons, aus einer For Next eine While Wend machen,
usw. kann dieses Verhalten evtl. kurzfristig abschalten, solange bis eine neue Virusdefinition
eine andere Binärfolge findet, die irgendetwas ähnelt, was böse ist .

Im Endeffekt verschwendest Du nur Deine Zeit. Wenn das Programm fertig ist, dann
testen und beim Antiviren-Hersteller hochladen, wo es anschlägt. So gibt es eine kleine
Chance auf Besserung, deren Wirkung nicht unbedingt lange anhalten muss.

[Ramihyn_]

Am schlimmsten finde ich, dass es einen Trend bei einigen Herstellern von der Erkennung hin zum White-Listing gibt.

Viel Voodoo und "snake-oil" war ja schon immer in dem Bereich unterwegs, aber das White-listing über cloud Bewertungen ist wirklich die Krönung. Bald wird ein Verbreiter von Viren über die gleichen dubiosen Methoden die beim SEO genutzt werden, dadurch seinen Virus in eine white-list bringen und alle werden ganz entsetzt und überrascht tun