False Positive bei Delphi 10.4 DLL (mit 3 Zeilen Code)
 

Kann jemand mal mit Delphi 10.4 eine 32-Windows-DLL erstellen mit (Release-Mode)
mit folgenden "hochkomplizierten" Inhalt:

uses
System.SysUtils,
System.Classes,
Vcl.Dialogs;

{$R *.res}

function AddIntegers(const _a, _b: integer): integer; stdcall;
begin
Result := _a + _b;
// ShowMessage('LocationURL');
end;

exports
AddIntegers;

bekommt ihr auf virustotal.com auch 3 Virenmeldungen?

AW: False Positive bei Delphi 10.4 DLL (mit 3 Zeilen Code)
 

Hallo Bernhard,
das kenne ich auch von XE5. Eigentlich ist es ein Fehlalarm. Wenn es Dich sehr stört, kannst Du versuchen, mit den Projekt-Optionen zu experimentieren. Manchmal verschwindet dann die Viruswarnung.

Grüße, Andreas

PS:
Oder füge ein wenig Ballast-Code hinzu. :-D

AW: False Positive bei Delphi 10.4 DLL (mit 3 Zeilen Code)
 

Ein paar Meldungen gibt es bei VirusTotal in sehr vielen Fällen. Gibt da so ein paar Scanner, die extrem empfindlich sind. Wir haben hier auch ein paar reine Ressourcen-Dlls (Toolbar-Icons etc.), die von ein paar Scannern angemeckert werden.

Und bei ein paar anderen Einzelerkennungen wechselt das täglich ab, ob mal der eine oder der andere Scanner Alarm schlägt.

Kann man imho ignorieren, sofern nicht "Microsoft" oder eine andere "wichtige" Engine davon betroffen ist. Wirklich was dran ändern kann man ohnehin nicht. Ein geregeltes Verfahren für das Einsenden von False-Positives haben längst nicht alle - und wenn, dann oft auch nur für Kunden des betroffenen Produkts.

AW: False Positive bei Delphi 10.4 DLL (mit 3 Zeilen Code)
 

Hab's soeben mit der aktuellen Delphi 11 getan - virustotal zeigt bei der nicht signierten dll 0/ 71 an.

AW: False Positive bei Delphi 10.4 DLL (mit 3 Zeilen Code)
 

Vermutlich hast Du, Michael, andere Projekt- und/oder Compiler-Optionen als Bernhard.
Gruß, Andreas

AW: False Positive bei Delphi 10.4 DLL (mit 3 Zeilen Code)
 

Anderer Compiler -> Andere "Byteorder/Pattern".
Das ist Default-Projekt ohne irgendwas zu ändern

Leider kann ich nicht so einfach hochziehen, da auch Buildsystem und Co. daran hängt.

AW: False Positive bei Delphi 10.4 DLL (mit 3 Zeilen Code)
 

Das ändert ja auch nichts am generellen Problem. False-Positives hast du immer wieder mal. Und wenn es heute mit Delphi 11 bei den 3 Scannern klappt, die bei 10.4 was anmeckern, dann hast du morgen das Problem genau andersrum bei drei anderen Scannern.

Das kommt halt davon, wenn die Firmen hinter diesen Scanner die Philosophie haben, "alles zu erkennen" - dann wird halt auch mal was harmloses als bösartig erkannt. Andere Produkte werben mit "keine False-Positives". Das ist für Software-Entwickler dann schön, aber ob das dann noch "sicher" ist, ist wieder eine andere Frage. :lol:

AW: False Positive bei Delphi 10.4 DLL (mit 3 Zeilen Code)
 

Die machen auch lieber sorum,
denn ein False Negative wäre noch bissl unschöner.

Bei vielen Anbietern kann man auch seinen False Positive melden
und teilweise wird das auch sauschnell behoben. (Selbsterfahrung)

AW: False Positive bei Delphi 10.4 DLL (mit 3 Zeilen Code)
 

Habe jetzt erst einen False Positive, wo der String (Hier Ausgabe Log) von

einen False-Positive verursacht.

Kein COM-Methode/Property das Aufgerufen wird.
Nix
Nur ein stinknormaler Delphi (Unicode)String in der DLL

AW: False Positive bei Delphi 10.4 DLL (mit 3 Zeilen Code)
 

Sophos Endpoint Protection schmeißt bei mir auch beliebig Executables weg (Generic ML PUA detected), mal in Release Config, mal in Debug Config, manchmal eine fast leere Spielzeug Project241.exe oder auch mal nen Unittest aus einer beliebigen Delphiversion zwischen XE und 11.2

AW: False Positive bei Delphi 10.4 DLL (mit 3 Zeilen Code)
 

Da kann Code Signing helfen. Viele Dll‘s sind ja signiert und ab dann tritt das viel seltener auf.

AW: False Positive bei Delphi 10.4 DLL (mit 3 Zeilen Code)
 

Haben seit über 10 Jahre Signaturen an allen ausgelieferten DLLs automatisch über Jenkins laufen.

AW: False Positive bei Delphi 10.4 DLL (mit 3 Zeilen Code)
 

Mal EV probiert?

AW: False Positive bei Delphi 10.4 DLL (mit 3 Zeilen Code)
 

Du meinst ein EV-Zertifikat.
Das ist doch wieder ein gewerk, da dieses ja nicht einfach Windows hinterlegt werden darf, damit man es einfach nutzen kann.
Da muss doch dann wieder mit "sicherer HW" gearbeitet werden, oder?