Dlaczego program Security Essentials powiadamia mnie o niestandardowym pliku DLL?

3

Utworzyłem plik DLL z gcc (mingw). Po uruchomieniu aplikacji program Microsoft Security Essentials powiadamia mnie:

Security Essentials wykrył na komputerze elementy, których nie rozpoznaje

Dlaczego dzieje się tak tylko z moją biblioteką DLL, a nie z innymi bibliotekami DLL?

security anti-virus windows-firewall twid
źródło
NIE, nie powinno być tak, ponieważ każdy może korzystać z aplikacji. Nie musi być administratorem. Na przykład każdy może korzystać z odtwarzacza multimediów VLC.
Ale SO FAQ nie zgadza się. To nie jest pytanie związane z kodowaniem w jakikolwiek sposób. Być może jest to problem z MSE, a może GCC jest zainfekowany.
Hindol
Nie, to dlaczego tak się nie dzieje z innymi bibliotekami DLL, które są używane przez wiele innych aplikacji
2
To dziwny problem. Rozwiązanie tej liczby informacji jest niemożliwe.
Hindol
Otóż, moje pytanie brzmi: co sprawia, że ​​Microsoft Security Essential rozpoznaje dowolny element .. na przykład DLL lub exe

Odpowiedzi:

1

Microsoft ma stronę do wysyłania fałszywych alarmów i negatywów, a także zasoby dla dostawców oprogramowania. Możesz również wykluczyć te typy plików (lub najlepiej określone pliki, o których wiesz, że nie są wirusami) z karty ustawień.

Domyślam się, że MS dostaje skróty i informacje o typowych bibliotekach DLL, a twoja jest rzadka.

Journeyman Geek
źródło
hmm ... skróty wyglądają dla mnie logicznie ... Ale jeśli MS będzie przechowywać zapisy skrótów DLL, będzie to bardzo trudne do utrzymania w tym okresie ... Ponieważ może być generowanych co najmniej setki DLL w ciągu dnia. ..
Twid
Wyszukiwanie dużych tabel skrótów jest dość łatwe, szczególnie jeśli komputer wysyła je do chmury, aby je wyszukać.
Michael Hampton,
1

MSE i wszystkie inne produkty antywirusowe rozpoznają wirusy na podstawie sygnatur wirusów. Każdy taki program antywirusowy korzysta z bazy danych zawierającej wiele tysięcy podpisów. Podpis jest regułą rozpoznawania wzorców, która rzekomo identyfikuje plik wirusa na podstawie jego binarnego skrótu . Niektóre wirusy dodają pliki, inne modyfikują istniejące pliki systemowe, inne dokonują zmian w rejestrze sygnalizujących ich obecność.

Aby uzyskać więcej informacji, zobacz Co to jest sygnatura wirusa? .

Najprostszym sposobem na zatrzymanie tej wiadomości jest skorzystanie z karty Ustawienia i dodanie pliku dll lub jego folderu do listy wykluczonych plików i lokalizacji.

Możesz również sprawdzić, czy w ramach MAPS wybrałeś opcję „Zaawansowane członkostwo”, aby MSE mogło poprosić Cię o przesłanie nieznanych elementów do analizy. Ustaw tę opcję na „Podstawowe członkostwo” lub nawet jeśli komunikat nadal brzmi „Nie chcę się przyłączyć”.

W przeciwnym razie możesz spróbować przesłać swoją bibliotekę dll do firmy Microsoft na stronie Prześlij przykładową stronę, w nadziei, że spowoduje to przekształcenie twojej biblioteki dll w „znaną” bibliotekę dll, ale nie licz na zbyt wiele.

harrymc
źródło
Tak, oczywiście, że tak się dzieje, ponieważ nie może to być heurystyka dla statycznego skanowania biblioteki DLL. I tak, możesz dodać go do listy wykluczeń i przesłać, ale zadawane pytanie brzmi, dlaczego tak się dzieje . To znaczy, dlaczego prawdopodobnie nieszkodliwa biblioteka DLL jest budowana przy użyciu tego samego frameworka, którego używają inni, a nie jak można to obejść. Na przykład, czy jest to znany błąd związany z używaną strukturą lub wersją? Czy inni doświadczają tego ze swoimi bibliotekami DLL? Czy to błąd w MSSE?…
Synetech,
@ Synetech: Ta dll okazała się być potencjalnym zagrożeniem dla jednej z bardzo złożonych heurystyk wykorzystywanych przez MSE. Możliwe, że istnieje kombinacja czynników, takich jak podejrzane wywołanie systemowe oraz inne czynniki, które spowodowały, że MSE oznaczyło je jako potencjalne zagrożenie. Tylko programista MSE może dowiedzieć się dokładnie, dlaczego, ale sądzę, że jest to kumulacja czynników.
harrymc
> Tylko programista MSE może dowiedzieć się dokładnie, dlaczego. Nie, jeśli jest to znany problem.
Synetech,
@ Synetech: Oczywiście masz rację, ale nie znam żadnego takiego „znanego problemu”. Fałszywe alarmy są dobrze znane, a jedyną poprawką jest zmiana zasad wykrywania. W tym przypadku nie jest to fałszywie dodatni, tylko dll, który wykonuje wiele wywołań systemowych (lub innych podejrzanych rzeczy), na tyle, że MSE decyduje, że powinien to zbadać człowiek, który zdecyduje, czy umieścić go na białej liście, czy nie.
harrymc