我的某个应用程序使用的数据文件最近被Symantec Antivirus隔离(签名触发为“Nightfall.5815”)。 文件是动态写入和读取的,内容是任意数据。
我的应用程序是否有办法避免这些文件触发AV扫描?
我知道关于误报的other questions,但他们似乎主要关注可执行文件和Delphi。此类问题的许多答案都涉及联系AV供应商报告误报。在我的情况下,这是一个我需要保护免受隔离的任意数据文件,因此我不确定单个报告和解决方案是否会阻止我将来再次触发。我感兴趣的是,是否有任何一般方法可以从应用程序的角度避免这种情况(不同的文件权限,更改文件格式),或者是否有办法通过从扫描中排除目录来解决这个问题。
答案 0 :(得分:0)
如果您可以始终如一地触发文件上的防病毒软件,请尝试使用全0(例如)填充文件的起始x-number-of-bytes。我想知道antiviruses是否接受特定位置的特定字节序列,或者肯定的字节序列是否总是被视为坏。
否则,从病毒扫描中排除目录将是最佳选择。
答案 1 :(得分:0)
根据卡巴斯基的术语(Virus.DOS.NightFall.5815),这种病毒似乎是一个旧的计时器dos文件传染者。 AV公司经常签署旧病毒,以提高AV-Comparatives或ICSA等AV认证流程的分数。
他们使用模式匹配技术来检测定义的字节序列。 不幸的是,有时序列很弱并且会产生太多误报。 我认为你的dat文件确实运气不好。
您可以尝试更改文件编码,然后序列将更改,并且不会被弱签名捕获。 为了检查您的文件现在是否正常,请通过Jotti等AV交叉扫描程序运行。