Einzelnen Beitrag anzeigen

Benutzerbild von Gausi
Gausi

Registriert seit: 17. Jul 2005
885 Beiträge
 
Delphi 11 Alexandria
 
#5

AW: InnoSetup und Trojaner-Heuristiken

  Alt 7. Mai 2020, 12:23
Dass beim packen kleine Änderungen massive Auswirkungen haben können, ist mir durchaus klar. Frage ist eher, warum der String einmal im Klartext in der Datei zu lesen ist, und sich dann aber auch anderer Teil weiter verändert. Da gibt es also anscheinend eine Doppelung - oder irgendwelche anderen Wechselwirkungen. Ob da wirklich was komprimiert wird, weiß ich ja nicht einmal. Desweiteren ist die Frage, warum die Malware-Heuristik auf den gepackten(?) Daten läuft (und nicht auf den entpackten), und dann String-Konstanten so einen Einfluss haben können.

Da musst Du Dich dann niemandem gegenüber rechtfertigen. 'ne Datei, die nur die Versionsnummer des Programmes enthält oder die MD5-Checksumme der Exe, jeweils 'ne neue GUID oder sonstein Phantasiewert.
In gewisser Weise muss ich mich da auf jeden Fall rechtfertigen . Denn der Alarm trat ja erst mit dem jüngsten Signatur-Update des Defenders auf. Letzte Woche hatte ich beim Erstellen des Setups keine Probleme, jetzt meckert er bei mir und den Usern, die das Update durchführen wollen.

Eine nicht verwendete GUID in das Setup-Script zu schreiben bringt übrigens nichts. Wenn die Konstante weiter nicht verwendet wird, wird sie von InnoSetup nicht mit einkompiliert - beide Versionen sind dann binärgleich.

Eine Dummy-Datei zum Brechen der Heuristik mit auszuliefern hat allerdings auch im ersten Versuch geklappt. Vielleicht mach ich das, wenn das wieder einmal auftritt . Da schreib ich dann irgendeinen Blödsinn rein, und verkauf das als "Easteregg" .

Frei nach dem Motto:

Erstellprozess des Setups starten.
Upps: Virusalarm
Erstellprozess des Setups starten.
Kein Virusverdacht.
Das funktioniert ggf. bei der Auslieferung. Aber wenn die Virenscanner ein blödes Update bekommen, habe ich das Problem wieder. Ich erwarte dabei nicht, dass das regelmäßig auftritt. Mir geht es mehr um das Verständnis der Ursachen in diesem Fall.

Vermutlich weil du eine Virenverseuchte Datei hochlädst...
Öhm, wenn ein Upload-Formular für die Analyse von Malware mit der Option "Fälschlicherweise als Malware erkannt, bitte prüfen" keine Dateien zulässt, die fälschlicherweise als Malware erkannt werden, dann ist das Konzept etwas kaputt.

das ist Heuristik. Da kann schon ein Byte (an der richtigen Stelle) genügen...
[...]
Damit muss man halt mittlerweile leben ...
Gut, dann hatte ich bisher eine etwas andere Vorstellung von der "Intelligenz" solcher Heuristiken. Muss ich dann nochmal etwas nach unten korrigieren.
The angels have the phone box.
  Mit Zitat antworten Zitat