 |
 |
 |
 |
 |
|
Antwort
|
|
|
|
Registriert seit: 15. Sep 2005 20 Beiträge Delphi XE5 Professional |
#1
Trojaner problem mit UrlDownloadToFile
4. Aug 2011, 14:07
|
Zitat
|
|
Registriert seit: 9. Jun 2011 677 Beiträge FreePascal / Lazarus |
#2
AW: Trojaner problem mit UrlDownloadToFile
4. Aug 2011, 14:09
|
|
Zitat
|
|
Registriert seit: 15. Sep 2005 20 Beiträge Delphi XE5 Professional |
#3
AW: Trojaner problem mit UrlDownloadToFile
4. Aug 2011, 14:23
Sowas kann ja nur über "Heuristik" (besser: simple generische Erkennmethoden) erkannt werden. Und dabei werden sicherlich noch andere Parameter überprüft. Ist die Datei signiert? Sowas sollte z.B. die Einschätzung schon zu Deinen Gunsten verschieben.
Nur noch Emsisoft und Ikarus mekern, aber die kenne ich nicht mal, also sind die auch nicht wichtig. Überprüft habe ich die Datei auf  http://virusscan.jotti.org/de/Was meinst du mit signieren? |
|
Zitat
|
Registriert seit: 10. Jun 2003 Ort: Berlin 9.373 Beiträge Delphi 11 Alexandria |
#4
AW: Trojaner problem mit UrlDownloadToFile
4. Aug 2011, 15:34
Sebastian Jänicke
Alle eigenen Projekte sind eingestellt, ebenso meine Homepage, Downloadlinks usw. im Forum bleiben aktiv! |
|
Zitat
|
|
Registriert seit: 9. Jun 2011 677 Beiträge FreePascal / Lazarus |
#5
AW: Trojaner problem mit UrlDownloadToFile
4. Aug 2011, 15:37
Mit Signieren meine ich
Authenticode.Nächste Frage: hast Du ordentliche Versionsresourcen? Und ein Manifest eingebunden? Halt alles, was seriöse Programme haben, Malware aber eher nicht. Wobei Signatur und Versionsresource wegen der Herkunftsangabe beide am meisten Gewicht haben könnten (kommt aber total auf die generischen Muster an). Indy ist tatsächlich ne Überlegung, oder zumindest die Http*-Befehle aus der WinINet (wobei sowas wie Indy und Synapse zwar aufbläht, aber weniger in das generische Muster passen wird). |
|
Zitat
|
Registriert seit: 21. Aug 2003 4.856 Beiträge |
#6
AW: Trojaner problem mit UrlDownloadToFile
4. Aug 2011, 16:05
Du solltest keine Energie dafür investieren, ein harmloses Programm was fälschlicherweise bemängelt wird für die Virenscanner harmlos erscheinen zu lassen. Es ist auch nicht ganz unwahrscheinlich, dass deine ganzen Workarounds mit dem nächsten Update der Antivirensoftware hinfällig werden... sowohl im positiven als auch im negativen Sinne.
Also am sinnvollsten: Da bleibt nur deine Exe an die Hersteller zu schicken, damit die ihre Definitionen aktualisieren.
|
|
Zitat
|
|
Registriert seit: 15. Sep 2005 20 Beiträge Delphi XE5 Professional |
#7
AW: Trojaner problem mit UrlDownloadToFile
4. Aug 2011, 17:45
Du solltest keine Energie dafür investieren, ein harmloses Programm was fälschlicherweise bemängelt wird für die Virenscanner harmlos erscheinen zu lassen. Es ist auch nicht ganz unwahrscheinlich, dass deine ganzen Workarounds mit dem nächsten Update der Antivirensoftware hinfällig werden... sowohl im positiven als auch im negativen Sinne.
Also am sinnvollsten: Da bleibt nur deine Exe an die Hersteller zu schicken, damit die ihre Definitionen aktualisieren.
Deswegen habe ich nun mit Indy mein Problem gelöst. nur VBA32 mekert von 20 antivirus Programmen und das ist mir nicht wichtig. Hier mein funktionierender Code:
Delphi-Quellcode:
Vielen Dank an euch
procedure TForm1.FormShow(Sender: TObject);
begin Button1Click(Self); end; procedure TForm1.Button1Click(Sender: TObject); var responseStream: TFileStream; begin try IdHTTP1.Head(Url+downloadFile); if (IdHTTP1.ResponseCode <> 404) then responseStream := TFileStream.Create(ExtractFilePath(application.exename)+'Repertuar.exe', fmCreate); IdHTTP1.Get(url+downloadFile, responseStream); //downloadFile MessageDlg('Das Programm wurde aktualisiert.', mtInformation,[mbOk], 0); responseStream.free; except on E: EIdHTTPProtocolException do MessageDlg('Das Programm konnte nicht aktualisiert werden!!!.', mtWarning,[mbOk], 0); end; ShellExecute(Application.Handle,'open',Pchar(ExtractFilePath(application.exename)+'Repertuar.exe'),nil,nil,sw_ShowNormal); Form1.Close; end; 
|
|
Zitat
|
|
Registriert seit: 9. Jun 2011 677 Beiträge FreePascal / Lazarus |
#8
AW: Trojaner problem mit UrlDownloadToFile
5. Aug 2011, 07:26
Du solltest keine Energie dafür investieren, ein harmloses Programm was fälschlicherweise bemängelt wird für die Virenscanner harmlos erscheinen zu lassen. Es ist auch nicht ganz unwahrscheinlich, dass deine ganzen Workarounds mit dem nächsten Update der Antivirensoftware hinfällig werden... sowohl im positiven als auch im negativen Sinne.
Also am sinnvollsten: Da bleibt nur deine Exe an die Hersteller zu schicken, damit die ihre Definitionen aktualisieren.
Kompletter Widerspruch  Hauptsächlich in der Formulierung. Dateien zu signieren, ja überhaupt erstmal gültige ordentliche Versionsresourcen einzutragen hat nichts mit "harmlos erscheinen lassen", sondern mit "seriös machen" zu tun. Und genau das sollte er tun - wenn er ernst genommen werden möchte. Indy zu verwenden gehört jetzt nicht zum seriös machen, wohl aber die Punkte, auf die er gar nicht eingegangen ist. Einschicken bedeutet nichts anderes, als vor jedem Release wieder neu an alle Hersteller einschicken zu müssen. Und die husten ihm irgendwann einen. Tun wir zumindest, wenn jemand schlampig programmiertes einschickt und beratungsresistent ist. Wobei, die meisten Entwickler sind für Hinweise tatsächlich dankbar 
|
|
Zitat
|
|
Registriert seit: 15. Sep 2005 20 Beiträge Delphi XE5 Professional |
#9
AW: Trojaner problem mit UrlDownloadToFile
4. Aug 2011, 15:42
Nun habe ich eine andere Funktion gefunden und die "laden"-Funtion erzetzt.
Nun merkert nur noch NOD32 und VBA32. Wenn ich die ShellExecute Zeile auskommentiere mekert NOD32 nicht mehr. Aber ich muss das Programm auch wieder starten, damit die Benutzer es nicht selber tun müssen. Hier die Funktion, falls jemand es braucht:
Delphi-Quellcode:
function CopyURL(const URL, OutputFile: string): Boolean;
const BufferSize = 2048; var hSession, hURL: HInternet; Buffer: array[0..Pred(BufferSize)] of Byte; BufferLength: DWORD; f: file; m: tmsg; begin Result := False; hSession := InternetOpen('User', INTERNET_OPEN_TYPE_PRECONFIG, nil, nil, 0); try hURL := InternetOpenURL(hSession, PChar(URL), nil, 0, 0, 0); try Assign(f, OutputFile); Rewrite(f, 1); repeat if PeekMessage(M, 0, 0, 0, pm_Remove) then begin TranslateMessage(M); DispatchMessage(M); end; InternetReadFile(hURL, @Buffer, BufferSize, BufferLength); BlockWrite(f, Buffer, BufferLength); until BufferLength = 0; Close(f); Result := True; finally InternetCloseHandle(hURL); end; finally InternetCloseHandle(hSession); end; end; Da bleibt nur deine Exe an die Hersteller zu schicken, damit die ihre Definitionen aktualisieren.
Oder du versuchst es mit Indy statt UrlDownloadToFile. Aber das wiederum erkennt dann vielleicht z.B. Antivir. Aber einen Versuch wäre es ja wert... |
|
Zitat
|
ForumregelnEs ist dir nicht erlaubt, neue Themen zu verfassen.
Es ist dir nicht erlaubt, auf Beiträge zu antworten.
Es ist dir nicht erlaubt, Anhänge hochzuladen.
Es ist dir nicht erlaubt, deine Beiträge zu bearbeiten.
BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus. Trackbacks are an
Pingbacks are an
Refbacks are aus
|
|
Hybrid-Darstellung
