4. Problem mit Antivirenprogramm

Problem mit Antivirenprogramm

  • R

    Hi,

    ich habe einen Clienten und Server geschrieben.
    Die sind komplett von mir in WinApi geschrieben ohne ressource editor usw..

    Jedoch habe ich ein Problem:
    Mein F-Secure schlägt immer alarm sobald ich den Clienten starte^^
    Er meint es wäre W32/Malware.
    Dabei kann das Ding nur connecten!!?? mehr nicht...

    Nun zu meiner Frage:
    Wie kann ich das umgehen??
    Ich habe da irgendwas von api crypten gehört, aber habe keine ahnung was das ist geschweige den wie das geht^^...

    Hier der Client-Source:
    main.cpp: http://nopaste.de/p/alAqCf1lcb
    winsock.h: http://nopaste.de/p/aj2IsZsNp
    statusfeld.h: http://nopaste.de/p/anJd7F4dN

    0
  • Mod

    Was schlägt denn Alarm in FSecure?
    Evtl. verwendest Du so wenige API Funktionen oder eben ganz spezielle, die eben typisch sind für einen Trojaner oder Maleware. Viele der Virenscanner haben so eine Art Metrik eingebaut, die helfen soll bereits unbekannte Viren oder Trojaner im Vorfeld zu erkennen.

    IMHO müsstest Du FSecure sagen können, er soll das bleiben lassen.

    0
  • R

    Martin Richter schrieb:

    Was schlägt denn Alarm in FSecure?
    Evtl. verwendest Du so wenige API Funktionen oder eben ganz spezielle, die eben typisch sind für einen Trojaner oder Maleware. Viele der Virenscanner haben so eine Art Metrik eingebaut, die helfen soll bereits unbekannte Viren oder Trojaner im Vorfeld zu erkennen.

    IMHO müsstest Du FSecure sagen können, er soll das bleiben lassen.

    http://www.imagespell.com/show.php?id=ffee7a5ec781ec57193a779c6e28a290.jpg

    ^^ Hmm also ich habe oben den Source gepostet^^ Aber ich weiß einfach nicht was ich da falsch gemacht habe^^ bzw was ich da "bösartiges" gecodet habe ....

    0
  • ?

    Probier mal dem Clienten eine andere Portnummer zu geben. Portnummer 12345 ist bereits 'reserviert' für eine Unzahl von Viren und Malware. 🙂

    0
  • ?

    Schick deine Anwendung an FSecur, damit die die Definitionsdatei anpassen können. Hatte ich auch schon das ein oder andere mal mit eigenen Programmen.

    0
  • L

    Ein Programm, dass nur winsock benutzt und nichts anderes macht ist verdächtig,
    denn es könnte ein kleiner "Filedownloader" sein, der etwas aus dem Netz zieht und dann ausführt, oder ein sehr kleiner Keylogger, der die logs hochläd.

    Die Import Table wird nach den importierten API's untersucht und wenn du nur ein paar winsock basierte API's verwendest bist du verdächtig.

    Das wars 🤡

    0
  • N

    Ich hab mal der Interesse halber einige meiner eigenen Programme durch einen Onlinescanner, der Dateien mit einer Vielzahl von kommerziellen Virenscannern prüft, geschleust. Praktisch jedes wird von 4-10 Scannern als verdächtig eingestuft oder ganz blatant als Trojaner xyz erkannt. Selbst bei Programmen, die keinerlei WinSock-Funktionen benutzen, finden sich meist noch zwei, drei Scanner, die sich beschweren.
    Ich schätze mal, dass ein Virenscanner eher in Verruf kommt, wenn er viele Schädlinge nicht erkennt, als wenn er viele Falschmeldungen ausspuckt, da viele Benutzer letztere in der Regel gar nicht als solche erkennen, sondern froh sind, dass das "Unheil noch mal abgewendet wurde".
    Eventuell könnte es ja helfen, die WinSock-Funktionsnamen verschlüsselt im Programmcode zu haben und erst zum Zeitpunkt des Aufrufs von GetProcAddress zu entschlüsseln.

    0
Anmelden zum Antworten