آرشا پرداز - شناسایی فایل exe برنامه ها به عنوان ویروس توسط آنتی ویروس
جزئیات مقاله
شناسایی فایل exe برنامه ها به عنوان ویروس توسط آنتی ویروس
196
0
فرزانه

شناسایی فایل exe برنامه ها به عنوان ویروس توسط آنتی ویروس

  • سه شنبه 4 اردیبهشت 1397
  • فرزانه فتاحی (کارشناس نرم افزار)
  • 6رأی

بعضی اوقات برنامه نویسان ویندوز پس از ساخت فایل exe برای برنامه هاشون و نصب اون متوجه میشن که آنتی ویروس اون فایل رو به عنوان ویروس معرفی میکنه اما دلیل این مشکل، راه شناسایی و راه حل چیه؟

دلیل این مشکل میتونه موارد مختلفی باشه که در ادامه چند مورد رو ذکر میکنیم.

  • ویروسی بودن سیستم:
    1. بعضی از ویروس ها کاری با فایل های اجرایی که قبلا کامپایل شده اند ندارند و اگر فایل اجرایی جدید تولید شود به آن چسبیده و از طریق آن انتشار میابند.مثلا چند ماه قبل یک ویروس برای کتابخانه های همراه Delphi منتشر شده بود که سیستم را آلوده می کرد، به این صورت که کامپایلر Delphi با تولید هر فایل exe آن را شامل این ویروس می کرد. (یعنی خود ناشر ویروس تولید میکرد!)بنابراین از ویروسی نبودن سیستم خود اطمینان حاصل کنید.
  • فایل هایی WORD, PDF, JPG, GIF فایل هایی هستند که بیشترین کاربرد را در ویندوز دارند. از آنجایی که پسوند exe در ویندوز به طور خودکار نمایش داده نمیشود ویروس نویس ها تلاش میکنند فایل ویروس خود را به این نوع فایل ها بچسبانند و فایلی با فرمتی مثل.jpg.exe تولید کنند و کاربر با اجرای این فایل با مشاهده ی یک تصویر، از اجرای ویروس غافل میشود به همین دلیل آنتی ویروس ها به این نوع فایل ها توجه ویژه ای دارند و اون رو به عنوان تهدید معرفی میکنند نه یک ویروس. مثالی از این کاربرد میتونه تعیین آیکن فایلexe برنامه با فرمت های JPEG ،GIF،wordو یا pdfباشه که با تغییر فایل یا حذف اون این مشکل حل میشه.
  • این مشکل میتونه در روند تولید فایلexe و مشکل در vbباشه .
  • آنتی ویروس ها معمولا فایل هایی رو که قصد دستکاری در رجیستری و فایل های سیستمی ویندوز داشته باشند رو به عنوان ویروس شناسایی میکنه. مثلا: استفاده از dllهایی مثلpslib، استفاده از رشته های طولانی که داخل اون مسیر هایی از رجیستری یا نام فایل های اجرایی خاصی داخلش هست ، استفاده از توابع api ویندوز
  • اگر برنامه شما در روال فرم لود خود بخواهد کلیدی در رجیستری برای اجرا در هر بار راه اندازی سیستم بسازد، رجیستری های اصلی و سیستمی ویندوز را دستکاری کند، keylogger و امثال آن یا inject code داشته باشد به عنوان یک برنامه مشکوک شناخته می شود و کاربر باید خودش شخصا آن را در لیست غیر مخرب در آنتی ویروس قرار دهد تا اجازه کار داشته باشد. در برخی موارد می توان با ارسال فایل به همراه توضیحی به بخش امنیتی آنتی ویروس ها آن را از لیست سیاه خارج کرد.
  • همچنین آنتي ويروس ها به اجراي روتين هاي مشكوك حساسند، مثلاً كپي و يا حذف كردن فايل در system32 و ياtaskvisible=false و يا taskKill كردن يك پروسه.

 

برای اطمینان از اینکه برنامه ی شما توسط آنتی ویروس های مختلف ویروس شناخته میشه یا نه میتونید اون رو در سایت https://www.virustotal.com اپلود و تست کنید.


آنتی ویروس ها و مخصوصا نسخه های internet security دارای قابلیت هایی برای کشف برنامه های "ناخواسته" و برنامه های مشکوک به خرابکاری هستند.

  • معمولا آنتی ویروس ها در سطوح امنیت بالا با این موارد مشکل دارند و با کاهش سطح امنیتی آنتی ویروس به صورت دستی میتوان صورت مسئله را پاک کرد. اما این مسلما راه خوبی نیست چون ممکن است بعد از انتشار برنامه بسیاری از کاربران را شاکی کند.
  • اگر برنامه ای دارید که باید در رجیستری startup بشه برای این کار برای وارد کردن در رجیستری از دستورopenاستفاده کنید و یه فایل .vbs بسازید و اون رو با دستور Start Filename.vbs اجرا کنید.
  • اگر رشته یا دستوری شامل دستورهای تغییر و کار با رجیستری مانند("App.Path +"\" + App.EXEName + ".exe ) دارید بهتر است آن را توسط کاراکتر & از هم تفکیک کنید. سپس کد مورد نظر را در یک تایمر که غیر فعال است نوشته شده و در روال فرم لود ، تایمر مذکور فعال شود . انتقال کد از load formبه  initialization احتمالا مشکل شما را حل کند.
  • استفاده از پکرها و کریپتورها هم میتونه مشکل رو حل کنه اما باید توجه کنید که نسخه های رایگان ممکن است پاسخگو نباشند چون آنتی ویروس ها با ساختار اونها کاملا آشنایی دارند.
  • راه دیگه ای که وجود داره افزودن کدهایی به برنامه است که باعث میشه انتی ویروس برنامه رو به عنوان ویروس نشناسه. در این کدها به جای استفاده از کلمات شناخته شده مثلcopy باید از کاراکتر های اونها استفاده کنید و دستورات به جای اجرا در فایل exeدر فایل دسته ای(bat)اجرا شوند. اگر استفاده از کدها مشکل شما را حل نکرد دلیلش اینه که توی برنامتون از کدهای مشکوک دیگه ای هم استفاده کردین که آنتی ویروس با در کنار هم قرار دادن اون کدها و تغییر در رجیستری و... فایل شما رو خطرناک اعلام میکنه و مانع اجرای اون میشه.

 

 

 

این مطلب را با دوستانتان به اشتراک بگذارید:
دیدگاه کاربران
تاکنون دیدگاهی ثبت نشده است
گروه مقالات
مقالات مرتبط
ارسال دیدگاه