Российский разработчик средств информационной безопасности

Как избежать ложных срабатываний антивируса?

10 сентября 2018 годаНекоммерческая организация «Институт инженеров электротехники и электроники» заявила о прекращении поддержки технологии IEEE Software Taggant System. Компания «Актив» подготовила для разработчиков ПО рекомендации, которые помогут максимально снизить вероятность ложных срабатываний антивирусов.

Как избежать ложных срабатываний антивируса?

Цифровая подпись существенно повышает благонадежность софта в глазах антивируса.

На протяжении многих лет разработчики протекторов, обфускаторов и прочих утилит для защиты программного обеспечения используют в своих решениях технологию IEEE Software Taggant System. Продукт Guardant Armor и средства защиты .NET-приложений Guardant не стали исключением. Данная технология позволяет помечать защищаемый софт как безвредный, в результате чего снижается риск ложных срабатываний антивирусных программ.

К сожалению, некоммерческая организация «Институт инженеров электротехники и электроники», которая занималась продвижением этой технологии и обслуживанием ее инфраструктуры, приняла решение с 31 июля 2018 года прекратить поддержку IEEE Software Taggant System. В связи с этим из продукта Guardant Armor и утилит автоматической защиты .NET-приложений удалены соответствующие опции («PEM»).

Компания «Актив» подготовила рекомендации для разработчиков ПО, которыми с нами поделились представители некоторых антивирусных компаний:

  • Подписывайте софт цифровой подписью.

    Это существенно повышает благонадежность вашей программы в глазах антивируса. Некоторые производители сертификатов: Comodo, GlobalSign, Symantec, Digicert.

  • Для большей эффективности проверяйте свое приложение через сервис VirusTotal.

    Делать это можно как вручную, так и автоматически с использованием API. Если ваш софт защищен с помощью протектора (например, Guardant Armor), то при большом количестве ложных срабатываний антивирусов достаточно перезащитить приложение и повторить проверку на сервисе. При этом менять настройки протектора не обязательно. Это связано с тем, что каждый цикл защиты даже с одинаковыми параметрами меняет сигнатуру исполняемого файла. Как только она перестанет совпадать с сигнатурой известных вирусов, ваш софт перестанет помечаться, как вредоносный. Имейте ввиду, что один и тот же антивирус на сервисе и на реальном компьютере вашего пользователя в некоторых случаях может выдавать разный результат.

  • Распространение.

    Перед распространением программы, обновлений и новых версий, добавьте их в белые списки хотя бы наиболее крупных антивирусных компаний в вашем регионе. Пример на сайте Лаборатории Касперского.

  • Если ваше приложение все-таки было помечено как вредоносное.

    Cтоит как можно скорее обратиться в антивирусную компанию. Большинство из них готовы разобраться в ситуации и помочь решить возникшую проблему.

Кроме того, эксперты Guardant обсудили с представителями антивирусных компаний внедрение в защитные механизмы Guardant альтернативных технологий взамен IEEE Software Taggant System.