Hov. Du er ikke logget ind.
DU SKAL VÆRE LOGGET IND, FOR AT INTERAGERE PÅ DENNE SIDE
Log Ind

Hvordan arbejder Anti-Virus Programmer?

Side 1 ud af 2 (12 indlæg)
Tilmeldt 20. Apr 07
Indlæg ialt: 16014
30% af profil udfyldt
Skrevet kl. 22:29
Hvor mange stjerner giver du? :

Hej

Nogen der ved hvordan anti-virus programmer arbejder? Hvad skal man undgå når man er software programmør.

Jeg har et software program og blev endag kontaktet af en kunde, som fortalte at mit program havde virus! Jeg troede i starten at det bare kunne være en mistforståelse fra kunden og fik ham derfor til at sende en screenshots(skærm-billed) af det.

Og det var sandt! jeg blev sur over hvorfor Avast(www.avast.com) skulle tro at mit program havde virus. Så jeg skyndte mig at skrive til Avast om problemet her.

Jeg blev kontaktet af en Virus analyst som undskyldte meget og lovede at han vil rette fejlen i næste VPS Update.

Dagen efter blev fejlen rettet da jeg fik opdateret avast, men det var ikke så rart, heller ikke for de kunder der havde oplevet problemet her.

 

Men hvorfor, hvad gør at Avast havde mit program på deres virus-liste?
Tilmeldt 10. Nov 09
Indlæg ialt: 0
Skrevet kl. 22:39
Hvor mange stjerner giver du? :

Hej Ibrahim det kan have flere forskellige forklaringer.

Enten så var det Behavoir analysis der opfangede noget virus/spyware lignende aktivitet fra dit program.

Ellers så var det, det vi på fagsprog kalder stupid generic detection algorithm. SGDA forkortet.

og det som en generic detection algorithm gør er at den kigger på den binære struktur i din fil også sammenligner den, den med definitionsdatabasen (listen over virusser).

og hvis der er lidt for mange ligheder så siger den haps der har vi sgu en virus.

jeg kan selv huske at da jeg var udvikler på moon secure AV. der fik vi tit den der Avast claims Random.dll is a trojan/virus/spyware thingie.

jeg ved faktisk også tilfældigvis der er mange cracking grupper der for det problem.

og den sidste grund kan være at kunden har konfigureret avast til at reagere på alt. 

og den sidste mulighed var at avast ved en fejl havde kommet til at tilføje dit program på deres liste over skadelige objekter ved en fejl.

 

 
Tilmeldt 10. Sep 08
Indlæg ialt: 113
Skrevet kl. 22:42
Hvor mange stjerner giver du? :

Hej Ibrahim

Du har ikke gjort noget forkert i forhold til, hvordan du har kodet dit program. Du har bare været uheldig.

Antivirus programmer fungerer på den måde at de søger efter en række bits, som de har fundet i de forskellige vira, og hvis et program indeholder samme sekvens af bits, så bliver det klassificeret som  virus. (kort fortalt)

Det der er sket er at dit program har samme sekvens af bit som den sekvens de har registreret for en virus. Denne slags "false positive" er desværre meget normale, og det sker ofte at anti virus producenterne må fjerne/ændre sekvenser for at undgå falske resultater.

Det du kan gøre er at scanne med http://www.virustotal.com/ den scanner med en bred vifte af de gængse antivirus programmer og giver dig en rapport over det. Det er god skik, inden du udgiver noget til kunderne at scanne f.eks. med dette tool, så bliver du (måske) ikke overrasket.

Mvh. Jens
Fra Aarhus
Tilmeldt 31. Aug 09
Indlæg ialt: 143
Skrevet kl. 22:48
Hvor mange stjerner giver du? :

tjaaa.

faktisk må samme måde
når du er oppe ved lægen og få en vaccination. lad os antage mod røde hund.
i den vaccine er der en meget lille dosis røde hunde paktierer. men så lidt at det ikke kan gøre skade men kroppen kender så til paktieren. og har lært at forsvare sig imod den. vis der skulle komme alt for mange paktierer af den salgs.

så et anti virus program har faktisk alle viruser i sit system.
når der kommer noget forbi programmet holder den det op imod de viruser i den selv har.
vis der så er matche slå den så alarm.

så dit program har nok nogle ting tilfældes med en ny virus. :)

mvh
romlund  
Tilmeldt 20. Apr 07
Indlæg ialt: 16014
30% af profil udfyldt
Skrevet kl. 23:10
Hvor mange stjerner giver du? :

Tusind Tak for jeres svar.
Jeg har søgt lidt rundt på nettet og fandt følgende resume:
Virusen hed forresten "Email-Worm.Win32.VB.bi"

Resume: Email-Worm.Win32.VB.bi is a mass-mailing worm that also tries to spread using remote shares. It also tries to disable security-related software.

Den sidste sætning "It also tries to disable security-related software. ", jeg tror at jeg har kommet til at pille ved firewall indstillinger, så det kan muligvis være derfor


Seo++
Tusind tak, jeg vil se nærmere på dine forslag :) , det kunne også bare være et tilfælde.


Jen
Da jeg kontaktede avast- antivirus analysten, sagde han noget om "false positive", men jeg forstod ikke helt hvad han mente, mit engelsk sprog er ikke 100%%
på den side du nævnte, kan jeg med det samme får svar om de mener at mit program "har virus" eller hvad man skal kalde det i det her tilfækde. og tusind tak.

 

Søren Romlund
Godt eksempel;)
Det er svært at sige, jeg skulle faktisk have spurgt virus analysten, tror i at han kan svarer mig på hvorfor de har troet at det er en virus? eller er det svært for ham?

 


Jeg er nu fuld igang med at programmer en nyere version og skifte alle de funktionen jeg tror kan være skyld i at anti-virus programmer tror at det er en virus, det er nok den bedste løsning.
Tilmeldt 20. Apr 07
Indlæg ialt: 16014
30% af profil udfyldt
Skrevet kl. 23:15
Hvor mange stjerner giver du? :

softwaremanden:

Hej Ibrahim

Du har ikke gjort noget forkert i forhold til, hvordan du har kodet dit program. Du har bare været uheldig.

Antivirus programmer fungerer på den måde at de søger efter en række bits, som de har fundet i de forskellige vira, og hvis et program indeholder samme sekvens af bits, så bliver det klassificeret som  virus. (kort fortalt)

Det der er sket er at dit program har samme sekvens af bit som den sekvens de har registreret for en virus. Denne slags "false positive" er desværre meget normale, og det sker ofte at anti virus producenterne må fjerne/ændre sekvenser for at undgå falske resultater.

Det du kan gøre er at scanne med http://www.virustotal.com/ den scanner med en bred vifte af de gængse antivirus programmer og giver dig en rapport over det. Det er god skik, inden du udgiver noget til kunderne at scanne f.eks. med dette tool, så bliver du (måske) ikke overrasket.

Mvh. Jens

 

Hej jens

Jeg har lavet en test på den side du har oplyst og resultatet blev Current status: finished

Result: 0/40 (0%)  betyder det at der ikke er fundet virus? eller?
Fra Aarhus
Tilmeldt 31. Aug 09
Indlæg ialt: 143
Skrevet kl. 23:20
Hvor mange stjerner giver du? :

Der må jeg være dig svar skyldig om han kan. 
så meget ved jeg slet ikke om det.

 

mvh
Romlund 
Tilmeldt 20. Apr 07
Indlæg ialt: 16014
30% af profil udfyldt
Skrevet kl. 23:24
Hvor mange stjerner giver du? :

Helt iorden Søren tak for det
Tilmeldt 10. Sep 08
Indlæg ialt: 113
Skrevet kl. 10:54
Hvor mange stjerner giver du? :

Jeps, de 40 forskellige virus programmer de benytter har ikke fundet virus. Det betyder ikke 100% at der ikke kan være virus, den kan jo være så nu at de ikke kender den, men det er en meget, meget god indikator for at der ikke er og der er ikke meget mere du kan gøre.
Tilmeldt 20. Apr 07
Indlæg ialt: 16014
30% af profil udfyldt
Skrevet kl. 11:00
Hvor mange stjerner giver du? :

Helt iorden Jens, tusind tak skal du have
Side 1 ud af 2 (12 indlæg)
Bliv gratis medlem pa Amino