Sporadisch "False Positive" mit Lazarus Compilaten

ChrisTG · Beitrag von **ChrisTG** » Fr 15. Jun 2012, 08:11

Hallo,

ich schlage mich derzeit mit einem merkwürdigen Problem herum.
Seit ca. November letzten Jahres wird das Compilat eines kleinen Startprogramm, welches ich in Lazarus pflege, sporadisch von diversene Antivirenprogrammen als Virus oder Malware erkannt.
Die Bezeichnung wechselt jedesmal und nach dem Einsenden der betroffenen Datei wird vom Hersteller auch jedesmal ein "False Positive" erkannt und in den Virendefinitionen beseitigt.
Ich würde aber gerne die Ursache dafür finden, um diesen Ärger nicht jedesmal vor der Veröffentlichung eines Programmupdates zu haben.
Hat jemand anderes derartige Schwierigkeiten mit Lazarus-Programmen schon gehabt und/oder eine Idee, wo man anfangen sollte zu suchen?
Ich bin für jeden Tipp dankbar!

Schönen Gruß,
Chris

carli · Beitrag von **carli** » Fr 15. Jun 2012, 08:26

Ja, auch gehabt.
Der Virenhersteller hat nicht geantwortet, es waren aber eh nur die Debug-Daten erkannt worden.

Antrepolit · Beitrag von **Antrepolit** » Sa 16. Jun 2012, 10:11

Und was genau macht dein kleines Startprogramm mit welchen Mechanismen? Es hat ja meistens einen Grund, warum es erkannt wird. QUellcode wäre hilfreicher als ins blaue zu Raten.

ChrisTG · Beitrag von **ChrisTG** » So 17. Jun 2012, 14:32

Hallo,

ich kann den Quellcode hier leider aus firmenpolitischen Gründen nicht veröffentlichen. Aber ich kann ja mal kurz beschreiben, was das Progrämmchen tut:
- Es liest die Pfad von "APPDATA" per Shell-API-Funktion aus.
- Es prüft rekursiv, ob in "APPDATA" eine aktuelle Kopie des Anwendungsordner liegt, wenn nicht wird diese kopiert.
- Außerdem wird beim Start noch ein mitgeliefertes Updatetool (Advanced Installer) gestartet und der Rückgabewert ausgewertet. Ist dieser ungleich Null, so liegt kein Update vor und es wird das Hauptprogramm mit dem oben generierten Pfad als Umgebung gestartet. Ansonsten wird das Update ausgeführt (dies lädt der Updater selbsttätig herunter).
Auf die Windows Systemordnerstruktur wird nicht zugegriffen, auch gibt es keinen schreibenden Zugriff auf Shellvariablen oder die Registry direkt.
Mein akutes Problem scheint irgendwie mit dem digitalen Signieren der Datei zu tun zu haben. Sobald ich diese mittels "Microsoft Boardmitteln" der Datei "aufstempel", wird der Virenscanner getriggert. Vielleicht sollte ich den Support des Herstellers nochmal kontaktieren.

Gruß,
Chris

Antrepolit · Beitrag von **Antrepolit** » So 17. Jun 2012, 16:12

Was ist das denn für eine Vorgehensweise? EIne Datei wird am Entwicklungssystem signiert, bevor sie ins Setup gepackt wird, und nicht erst auf dem Zielsystem. Da braucht man sich nicht wundern, dass der Virenkiller anschlägt. Warum kopiert nicht die Anwendung selbst allen kram nach APPDATA? Auch könnte die Anwendung die Update-Geschichte durchführen. Damit würde man ganze zwei zusätzliche Anwendungen sparen. Allein der Start dieser zwei Anwendungen verzögert den Systemstart - sowas finde ich persönlich zum kotzen. Ich kille schon immer diesen grauenvollen Adobe-Updater, der immer im Hintergrund mit 1% Systemauslastung mitläuft.

gocher · Beitrag von **gocher** » So 17. Jun 2012, 17:08

Hallo zusammen,
ich finde, was ein Programmierer für seine Firma macht, dafür kann er nicht unbedingt was,
vielleicht möchte es der Kunde

!

Ich habe auch Probleme mit Virenscanner und behebe sie meistens damit, dass ich in den Einstellungen für mein Projekt Veränderungen vornehme, das heißt im Bereich Codegenerierung und Linken (hat bisher noch immer geklappt).

ChrisTG · Beitrag von **ChrisTG** » So 17. Jun 2012, 18:11

Ähm, moment! Die Datei WIRD natürlich bei uns signiert und nicht beim Kunden und das bevor das Setup erstellt wird.
Interessanterweise mag der Virenscanner seit kurzem scheinbar unser Zertifikat nicht mehr.

Und was hat das mit dem Systemstart zu tun? Das Programm liegt weder im Autostart, noch ist es ein Systemdienst.
Es hat auch seinen Sinn, wieso die Checks nicht innerhalb des Programms durchgeführt werden. Das Hauptprogramm lädt unzählige Libraries. Die müssten alle erst geladen werden, bevor dann festgestellt wird, es gibt noch etwas zu tun bei dem das Programm beendet sein muss. Also müsste es de Fakto 2x komplett geladen werden. Ich denke nicht, dass das resourcenschonender ist.

Gruß,
Chris

ChrisTG · Beitrag von **ChrisTG** » So 17. Jun 2012, 18:11

gocher hat geschrieben: Ich habe auch Probleme mit Virenscanner und behebe sie meistens damit, dass ich in den Einstellungen für mein Projekt Veränderungen vornehme, das heißt im Bereich Codegenerierung und Linken (hat bisher noch immer geklappt).

Danke für den Tipp, werde ich mal ausprobieren!

Antrepolit · Beitrag von **Antrepolit** » Di 19. Jun 2012, 21:02

ChrisTG hat geschrieben:(...)Das Hauptprogramm lädt unzählige Libraries. Die müssten alle erst geladen werden, bevor dann festgestellt wird, es gibt noch etwas zu tun bei dem das Programm beendet sein muss. (...)

Stichwort: Dynamisch laden.
Was den Virenkiller betrifft: Hersteller anmailen, dass das Zertifikat fälschlicherweise erkannt wird - falls es überhaupt am Zertifikat liegt.

Deutsches Lazarusforum

Sporadisch "False Positive" mit Lazarus Compilaten

Sporadisch "False Positive" mit Lazarus Compilaten

Re: Sporadisch "False Positive" mit Lazarus Compilaten

Re: Sporadisch "False Positive" mit Lazarus Compilaten

Re: Sporadisch "False Positive" mit Lazarus Compilaten

Re: Sporadisch "False Positive" mit Lazarus Compilaten

Re: Sporadisch "False Positive" mit Lazarus Compilaten

Re: Sporadisch "False Positive" mit Lazarus Compilaten

Re: Sporadisch "False Positive" mit Lazarus Compilaten

Re: Sporadisch "False Positive" mit Lazarus Compilaten