Làm thế nào để ngăn chặn việc thực thi của tôi bị đối xử từ AV như xấu hay virus?

Tôi đang tạo một phần mềm, phần mềm này sẽ chạy trên windows và sẽ hoạt động như launcher cho trò chơi, để phục vụ như một trình cập nhật tự động và trình xác minh tệp trong PC phía máy khách.

Một điều tôi không hiểu, tại sao phần mềm chống vi-rút của tôi (Avast) lại coi tệp exe của tôi là nguy hiểm và sẽ không khởi động nó mà không yêu cầu đưa nó vào hộp cát, để sử dụng an toàn.

Có bất kỳ quy tắc nào mà phần mềm của tôi phải tuân theo, để được đối xử tốt hay tôi nên trả hàng trăm đô la cho một số loại ký kỹ thuật số và các thứ khác?

Tôi đang sử dụng C # với MS Visual Studio 2010.

Báo cáo VirusTotal . Không tiêm DLL, làm việc như trình tải xuống tệp từ xa, sử dụng lớp WebClient ().

Nó không giống như nó cảnh báo về virus, nhưng nó "gợi ý" cho sandbox nó. Nhìn vào ảnh chụp màn hình:

"Tỷ lệ lưu hành / danh tiếng thấp" có nghĩa là Avast sử dụng hệ thống danh tiếng dựa trên việc sử dụng chương trình. Chỉ khi chương trình của bạn đã được cài đặt và 'được đánh dấu là nhân từ' bởi đủ người dùng, nó sẽ phát triển danh tiếng tốt và đề xuất này sẽ biến mất. Avast gọi đây là tính năng đám mây FileRep và nói rằng "Tất cả các tệp không xác định mới đều có khả năng gây nguy hiểm. Bất cứ khi nào chúng trở nên phổ biến, sẽ không còn lý do để AutoSandbox chúng nữa". Đây là PITA cho các công ty phần mềm nhỏ (và Avast không phải là người duy nhất làm điều này, lưu ý, ví dụ như Thông tin đáng ngờ của Symantec " ). Một điều Avast gợi ý là" bạn có thể tăng tốc quá trình nếu bạn ký điện tử các tệp. "

Tại địa phương (trên máy tính của bạn), bạn có thể truy cập cài đặt chuyên gia của hộp tự động và vô hiệu hóa các tệp tự động lưu trữ có uy tín thấp hoặc có thể sử dụng chứng chỉ tự ký, nhưng điều đó sẽ không giúp bạn với người dùng cuối của bạn. Đối với những người tôi khuyên bạn nên sử dụng một chứng chỉ thực (chi phí tiền, nhưng Windows cũng thích nó) và cập nhật tài liệu của bạn với thông tin này.
Có lẽ có nhiều đề xuất hơn tại các diễn đàn Avast .

Để thêm vào những gì Jan Doggen đã nói, các phần mềm chống vi-rút khác cũng thực hiện quét heuristic.

Quét vi-rút không chỉ là xem liệu một thực thi cụ thể có phải là bản sao chính xác của một vi-rút đã biết hay không. Điều đó có thể và đã dễ dàng bị phá vỡ. Bây giờ các công cụ AV kiểm tra hành vi cụ thể, như công cụ này sử dụng các thư viện mạng, nó có truy cập / sửa đổi tệp không, nó có mã hóa / giải mã chính nó trong thời gian chạy hay không và tùy thuộc vào thuật toán bên trong (heuristic), nó có gây ra nguy hiểm không .

Một cách để chống lại các phát hiện sai khác nhau của AV, đó là những gì được biết đến bằng cách giấu chữ ký. Về cơ bản, một kỹ thuật khác là một công cụ AV sẽ xem liệu có một luồng byte (chữ ký) cụ thể nào có trong một tệp thực thi hay không. Nếu nó tìm thấy nó, nó biết nó là virus. Cuối cùng, bạn có thể tạo mã (có thể thực thi) có thể bao gồm một trong số hàng tỷ chữ ký mà phần mềm AV sử dụng. Để loại bỏ phần cụ thể đó, bạn cần thực hiện tìm kiếm nhị phân trên tệp thực thi của mình bằng cách chia nó thành hai phần, nửa đầu, nửa kia và quét lại chúng một lần nữa và lặp lại quy trình cho đến khi bạn tìm thấy phần có chữ ký. Sau khi tìm thấy, bạn lật một số bit và xem nếu nó vẫn được phát hiện. Một cách an toàn hơn là chỉ cần thay đổi mã nguồn và xem liệu nó có phun ra một luồng byte khác tại vị trí đó không.

Bạn sẽ gặp vấn đề này 100% với loại phần mềm bạn đang phát triển.