最近我的一个应用程序使用的数据文件被Symantec Antivirus隔离(签名触发为'Nightfall.5815')。 该文件是动态写入和读取的,其内容是任意数据。避免数据文件中的防病毒错误肯定
有没有办法让我的应用程序避免这些文件触发AV扫描?
我知道关于SO的otherquestions关于误报,但它们大多数似乎与可执行文件和Delphi有关。对这类问题的许多答案都涉及与AV供应商联系以报告误报。在我的情况下,这是一个任意的数据文件,我需要防止隔离,所以我不确定单个报告和解决方案是否会阻止我在将来再次触发。我感兴趣的是,如果有任何常规方法可以从应用程序的角度来避免这种情况(不同的文件权限,更改文件格式),或者有可能通过从扫描中排除目录来解决此问题。
如果您始终可以在文件上触发防病毒软件,请尝试使用全部0(例如)填充该文件的开始x字节数。我想知道病毒是否在特定位置上选择特定字节序列的,或者是否确定字节序列总是被认为是不好的。
否则,从病毒扫描中排除目录将是最佳选择。
谢谢。填充是我正在考虑的事情之一,但我不确定该文件引发了这种误报。鉴于我的数据是任意的,我仍然不确定这是否能够保护我免受潜在触发。 我现在正在追求排斥,尽管我不确定我的组织是否允许这样做。 – 2011-05-02 23:55:17
根据卡巴斯基的术语(Virus.DOS.NightFall.5815),这个病毒似乎是一个旧计时器的dos文件感染器。 AV公司经常签署旧病毒以提高AV认证流程(如AV-Comparatives或ICSA)的分数。
它们使用模式匹配技术来检测已定义的字节序列。 不幸的是,有时序列很弱,并产生太多的误报。 我想你的dat文件真的不好运气。
您可以尝试更改文件编码,然后序列将会更改并且不会被弱签名捕获。 为了检查您的文件现在是否正常,请通过AV交叉扫描器运行,如Jotti。
防病毒软件包是最严重的感染。对系统稳定性的影响让人想知道治疗是否不比疾病更糟糕。 – 2011-05-02 18:33:27