Sporadisch "False Positive" mit Lazarus Compilaten
Sporadisch "False Positive" mit Lazarus Compilaten
Hallo,
ich schlage mich derzeit mit einem merkwürdigen Problem herum.
Seit ca. November letzten Jahres wird das Compilat eines kleinen Startprogramm, welches ich in Lazarus pflege, sporadisch von diversene Antivirenprogrammen als Virus oder Malware erkannt.
Die Bezeichnung wechselt jedesmal und nach dem Einsenden der betroffenen Datei wird vom Hersteller auch jedesmal ein "False Positive" erkannt und in den Virendefinitionen beseitigt.
Ich würde aber gerne die Ursache dafür finden, um diesen Ärger nicht jedesmal vor der Veröffentlichung eines Programmupdates zu haben.
Hat jemand anderes derartige Schwierigkeiten mit Lazarus-Programmen schon gehabt und/oder eine Idee, wo man anfangen sollte zu suchen?
Ich bin für jeden Tipp dankbar!
Schönen Gruß,
Chris
ich schlage mich derzeit mit einem merkwürdigen Problem herum.
Seit ca. November letzten Jahres wird das Compilat eines kleinen Startprogramm, welches ich in Lazarus pflege, sporadisch von diversene Antivirenprogrammen als Virus oder Malware erkannt.
Die Bezeichnung wechselt jedesmal und nach dem Einsenden der betroffenen Datei wird vom Hersteller auch jedesmal ein "False Positive" erkannt und in den Virendefinitionen beseitigt.
Ich würde aber gerne die Ursache dafür finden, um diesen Ärger nicht jedesmal vor der Veröffentlichung eines Programmupdates zu haben.
Hat jemand anderes derartige Schwierigkeiten mit Lazarus-Programmen schon gehabt und/oder eine Idee, wo man anfangen sollte zu suchen?
Ich bin für jeden Tipp dankbar!
Schönen Gruß,
Chris
-
- Beiträge: 657
- Registriert: Sa 9. Jan 2010, 17:32
- OS, Lazarus, FPC: Linux 2.6.x, SVN-Lazarus, FPC 2.4.0-2
- CPU-Target: 64Bit
Re: Sporadisch "False Positive" mit Lazarus Compilaten
Ja, auch gehabt.
Der Virenhersteller hat nicht geantwortet, es waren aber eh nur die Debug-Daten erkannt worden.
Der Virenhersteller hat nicht geantwortet, es waren aber eh nur die Debug-Daten erkannt worden.
-
- Beiträge: 340
- Registriert: Di 12. Sep 2006, 08:57
- OS, Lazarus, FPC: Winux (L 0.9.xy FPC 2.2.z)
- CPU-Target: xxBit
- Kontaktdaten:
Re: Sporadisch "False Positive" mit Lazarus Compilaten
Und was genau macht dein kleines Startprogramm mit welchen Mechanismen? Es hat ja meistens einen Grund, warum es erkannt wird. QUellcode wäre hilfreicher als ins blaue zu Raten.
Grüße, Antrepolit
care only if your os is really burning
care only if your os is really burning
Re: Sporadisch "False Positive" mit Lazarus Compilaten
Hallo,
ich kann den Quellcode hier leider aus firmenpolitischen Gründen nicht veröffentlichen. Aber ich kann ja mal kurz beschreiben, was das Progrämmchen tut:
- Es liest die Pfad von "APPDATA" per Shell-API-Funktion aus.
- Es prüft rekursiv, ob in "APPDATA" eine aktuelle Kopie des Anwendungsordner liegt, wenn nicht wird diese kopiert.
- Außerdem wird beim Start noch ein mitgeliefertes Updatetool (Advanced Installer) gestartet und der Rückgabewert ausgewertet. Ist dieser ungleich Null, so liegt kein Update vor und es wird das Hauptprogramm mit dem oben generierten Pfad als Umgebung gestartet. Ansonsten wird das Update ausgeführt (dies lädt der Updater selbsttätig herunter).
Auf die Windows Systemordnerstruktur wird nicht zugegriffen, auch gibt es keinen schreibenden Zugriff auf Shellvariablen oder die Registry direkt.
Mein akutes Problem scheint irgendwie mit dem digitalen Signieren der Datei zu tun zu haben. Sobald ich diese mittels "Microsoft Boardmitteln" der Datei "aufstempel", wird der Virenscanner getriggert. Vielleicht sollte ich den Support des Herstellers nochmal kontaktieren.
Gruß,
Chris
ich kann den Quellcode hier leider aus firmenpolitischen Gründen nicht veröffentlichen. Aber ich kann ja mal kurz beschreiben, was das Progrämmchen tut:
- Es liest die Pfad von "APPDATA" per Shell-API-Funktion aus.
- Es prüft rekursiv, ob in "APPDATA" eine aktuelle Kopie des Anwendungsordner liegt, wenn nicht wird diese kopiert.
- Außerdem wird beim Start noch ein mitgeliefertes Updatetool (Advanced Installer) gestartet und der Rückgabewert ausgewertet. Ist dieser ungleich Null, so liegt kein Update vor und es wird das Hauptprogramm mit dem oben generierten Pfad als Umgebung gestartet. Ansonsten wird das Update ausgeführt (dies lädt der Updater selbsttätig herunter).
Auf die Windows Systemordnerstruktur wird nicht zugegriffen, auch gibt es keinen schreibenden Zugriff auf Shellvariablen oder die Registry direkt.
Mein akutes Problem scheint irgendwie mit dem digitalen Signieren der Datei zu tun zu haben. Sobald ich diese mittels "Microsoft Boardmitteln" der Datei "aufstempel", wird der Virenscanner getriggert. Vielleicht sollte ich den Support des Herstellers nochmal kontaktieren.
Gruß,
Chris
-
- Beiträge: 340
- Registriert: Di 12. Sep 2006, 08:57
- OS, Lazarus, FPC: Winux (L 0.9.xy FPC 2.2.z)
- CPU-Target: xxBit
- Kontaktdaten:
Re: Sporadisch "False Positive" mit Lazarus Compilaten
Was ist das denn für eine Vorgehensweise? EIne Datei wird am Entwicklungssystem signiert, bevor sie ins Setup gepackt wird, und nicht erst auf dem Zielsystem. Da braucht man sich nicht wundern, dass der Virenkiller anschlägt. Warum kopiert nicht die Anwendung selbst allen kram nach APPDATA? Auch könnte die Anwendung die Update-Geschichte durchführen. Damit würde man ganze zwei zusätzliche Anwendungen sparen. Allein der Start dieser zwei Anwendungen verzögert den Systemstart - sowas finde ich persönlich zum kotzen. Ich kille schon immer diesen grauenvollen Adobe-Updater, der immer im Hintergrund mit 1% Systemauslastung mitläuft.
Grüße, Antrepolit
care only if your os is really burning
care only if your os is really burning
-
- Beiträge: 298
- Registriert: Di 23. Nov 2010, 23:41
- OS, Lazarus, FPC: Ubuntu/Win, Lazarus trunk, FPC trunk
- CPU-Target: 32Bit/64Bit
- Wohnort: Geldern
- Kontaktdaten:
Re: Sporadisch "False Positive" mit Lazarus Compilaten
Hallo zusammen,
ich finde, was ein Programmierer für seine Firma macht, dafür kann er nicht unbedingt was,
vielleicht möchte es der Kunde
!
Ich habe auch Probleme mit Virenscanner und behebe sie meistens damit, dass ich in den Einstellungen für mein Projekt Veränderungen vornehme, das heißt im Bereich Codegenerierung und Linken (hat bisher noch immer geklappt).
ich finde, was ein Programmierer für seine Firma macht, dafür kann er nicht unbedingt was,
vielleicht möchte es der Kunde

Ich habe auch Probleme mit Virenscanner und behebe sie meistens damit, dass ich in den Einstellungen für mein Projekt Veränderungen vornehme, das heißt im Bereich Codegenerierung und Linken (hat bisher noch immer geklappt).
MfG Gocher
akt. Projekt: Webserver(HTTPS HTTP/2) mit integrierten CMS in Free Pascal - www.gocher.me
akt. Projekt: Webserver(HTTPS HTTP/2) mit integrierten CMS in Free Pascal - www.gocher.me
Re: Sporadisch "False Positive" mit Lazarus Compilaten
Ähm, moment! Die Datei WIRD natürlich bei uns signiert und nicht beim Kunden und das bevor das Setup erstellt wird.
Interessanterweise mag der Virenscanner seit kurzem scheinbar unser Zertifikat nicht mehr.
Und was hat das mit dem Systemstart zu tun? Das Programm liegt weder im Autostart, noch ist es ein Systemdienst.
Es hat auch seinen Sinn, wieso die Checks nicht innerhalb des Programms durchgeführt werden. Das Hauptprogramm lädt unzählige Libraries. Die müssten alle erst geladen werden, bevor dann festgestellt wird, es gibt noch etwas zu tun bei dem das Programm beendet sein muss. Also müsste es de Fakto 2x komplett geladen werden. Ich denke nicht, dass das resourcenschonender ist.
Gruß,
Chris
Interessanterweise mag der Virenscanner seit kurzem scheinbar unser Zertifikat nicht mehr.

Und was hat das mit dem Systemstart zu tun? Das Programm liegt weder im Autostart, noch ist es ein Systemdienst.
Es hat auch seinen Sinn, wieso die Checks nicht innerhalb des Programms durchgeführt werden. Das Hauptprogramm lädt unzählige Libraries. Die müssten alle erst geladen werden, bevor dann festgestellt wird, es gibt noch etwas zu tun bei dem das Programm beendet sein muss. Also müsste es de Fakto 2x komplett geladen werden. Ich denke nicht, dass das resourcenschonender ist.
Gruß,
Chris
Re: Sporadisch "False Positive" mit Lazarus Compilaten
Danke für den Tipp, werde ich mal ausprobieren!gocher hat geschrieben: Ich habe auch Probleme mit Virenscanner und behebe sie meistens damit, dass ich in den Einstellungen für mein Projekt Veränderungen vornehme, das heißt im Bereich Codegenerierung und Linken (hat bisher noch immer geklappt).
-
- Beiträge: 340
- Registriert: Di 12. Sep 2006, 08:57
- OS, Lazarus, FPC: Winux (L 0.9.xy FPC 2.2.z)
- CPU-Target: xxBit
- Kontaktdaten:
Re: Sporadisch "False Positive" mit Lazarus Compilaten
Stichwort: Dynamisch laden.ChrisTG hat geschrieben:(...)Das Hauptprogramm lädt unzählige Libraries. Die müssten alle erst geladen werden, bevor dann festgestellt wird, es gibt noch etwas zu tun bei dem das Programm beendet sein muss. (...)
Was den Virenkiller betrifft: Hersteller anmailen, dass das Zertifikat fälschlicherweise erkannt wird - falls es überhaupt am Zertifikat liegt.
Grüße, Antrepolit
care only if your os is really burning
care only if your os is really burning