Hallo,

ich habe für mein Programm eine Updatefunktion hinzugefügt, indem ich eine 2. Programm starte und diese lädt die Datei runter, ersetzt die .exe und startet es.
Alles läuft super, nur bei manchen antivirus Programmen erhalte ich eine Trojaner Meldung, wie z.B. NOD32, ArcaVir, Emsisoft, VBA32 und Ikarus.
Ich benutze für das Herunterladen UrlDownloadToFile und wenn ich die Zeile auskommentiere bekomme ich keine Trojaner Meldung mehr.
AntiVir konnte ich austricksen, indem ich den Umweg mit Button1Click(self) genommen habe.
Nur wie kann ich die anderen antivirus Programme austricksen?
Hier mein Code von Update.exe:

zusammenfalten · markieren

Delphi-Quellcode:

function TForm1.laden(Source, Dest: string): Boolean;
begin
  try
    Result := UrlDownloadToFile(nil, PChar(source), PChar(Dest), 0, nil) = 0;
  except
    Result := False;
  end;
end;

procedure TForm1.FormShow(Sender: TObject);
begin
 Button1Click(Self);
end;

procedure TForm1.Button1Click(Sender: TObject);
begin
 if laden(url+downloadFile, extractfilepath(application.exename)+downloadFile) then
 begin
  MessageDlg('Das Programm wurde aktualisiert.', mtInformation,[mbOk], 0);
  ShellExecute(Application.Handle,'open',Pchar(ExtractFilePath(application.exename)+'Repertuar.exe'),nil,nil,sw_ShowNormal);
  Form1.Close;
 end
 else
 begin
  MessageDlg('Das Programm konnte nicht aktualisiert werden!!!.', mtWarning,[mbOk], 0);
  ShellExecute(Application.Handle,'open',Pchar(ExtractFilePath(application.exename)+'Repertuar.exe'),nil,nil,sw_ShowNormal);
  Form1.Close;
 end;
end;

URL und DownloadFile sind Konstante.

Sowas kann ja nur über "Heuristik" (besser: simple generische Erkennmethoden) erkannt werden. Und dabei werden sicherlich noch andere Parameter überprüft. Ist die Datei signiert? Sowas sollte z.B. die Einschätzung schon zu Deinen Gunsten verschieben.

Zitat von CCRDude:

Sowas kann ja nur über "Heuristik" (besser: simple generische Erkennmethoden) erkannt werden. Und dabei werden sicherlich noch andere Parameter überprüft. Ist die Datei signiert? Sowas sollte z.B. die Einschätzung schon zu Deinen Gunsten verschieben.

Ja das habe ich auch getan und wenn ich die Zeile mit UrlDownloadToFile auskommentiere, mekern gleich 3 antivirus Programme nicht mehr (NOD32, ArcaVir und VBA32).
Nur noch Emsisoft und Ikarus mekern, aber die kenne ich nicht mal, also sind die auch nicht wichtig.
Überprüft habe ich die Datei auf http://virusscan.jotti.org/de/
Was meinst du mit signieren?

Da bleibt nur deine Exe an die Hersteller zu schicken, damit die ihre Definitionen aktualisieren.

Oder du versuchst es mit Indy statt UrlDownloadToFile. Aber das wiederum erkennt dann vielleicht z.B. Antivir. Aber einen Versuch wäre es ja wert...

Mit Signieren meine ich Authenticode.

Nächste Frage: hast Du ordentliche Versionsresourcen? Und ein Manifest eingebunden? Halt alles, was seriöse Programme haben, Malware aber eher nicht. Wobei Signatur und Versionsresource wegen der Herkunftsangabe beide am meisten Gewicht haben könnten (kommt aber total auf die generischen Muster an).

Indy ist tatsächlich ne Überlegung, oder zumindest die Http*-Befehle aus der WinINet (wobei sowas wie Indy und Synapse zwar aufbläht, aber weniger in das generische Muster passen wird).

Nun habe ich eine andere Funktion gefunden und die "laden"-Funtion erzetzt.
Nun merkert nur noch NOD32 und VBA32.
Wenn ich die ShellExecute Zeile auskommentiere mekert NOD32 nicht mehr.
Aber ich muss das Programm auch wieder starten, damit die Benutzer es nicht selber tun müssen.
Hier die Funktion, falls jemand es braucht:

zusammenfalten · markieren

Delphi-Quellcode:

function CopyURL(const URL, OutputFile: string): Boolean;
const
  BufferSize = 2048;
var
  hSession, hURL: HInternet;
  Buffer: array[0..Pred(BufferSize)] of Byte;
  BufferLength: DWORD;
  f: file;
  m: tmsg;
begin
  Result := False;
  hSession := InternetOpen('User', INTERNET_OPEN_TYPE_PRECONFIG, nil, nil, 0);
  try
    hURL := InternetOpenURL(hSession, PChar(URL), nil, 0, 0, 0);
    try
      Assign(f, OutputFile);
      Rewrite(f, 1);
      repeat
        if PeekMessage(M, 0, 0, 0, pm_Remove) then
        begin
          TranslateMessage(M);
          DispatchMessage(M);
        end;
        InternetReadFile(hURL, @Buffer, BufferSize, BufferLength);
        BlockWrite(f, Buffer, BufferLength);
      until BufferLength = 0;
      Close(f);
      Result := True;
    finally
      InternetCloseHandle(hURL);
    end;
  finally
    InternetCloseHandle(hSession);
  end;
end;

Zitat von jaenicke:

Da bleibt nur deine Exe an die Hersteller zu schicken, damit die ihre Definitionen aktualisieren.

Oder du versuchst es mit Indy statt UrlDownloadToFile. Aber das wiederum erkennt dann vielleicht z.B. Antivir. Aber einen Versuch wäre es ja wert...

Ich werde mir das mit Indy anschauen, Danke.

Du solltest keine Energie dafür investieren, ein harmloses Programm was fälschlicherweise bemängelt wird für die Virenscanner harmlos erscheinen zu lassen. Es ist auch nicht ganz unwahrscheinlich, dass deine ganzen Workarounds mit dem nächsten Update der Antivirensoftware hinfällig werden... sowohl im positiven als auch im negativen Sinne.

Also am sinnvollsten:

Zitat von jaenicke:

Da bleibt nur deine Exe an die Hersteller zu schicken, damit die ihre Definitionen aktualisieren.

Zitat von Meflin:

Du solltest keine Energie dafür investieren, ein harmloses Programm was fälschlicherweise bemängelt wird für die Virenscanner harmlos erscheinen zu lassen. Es ist auch nicht ganz unwahrscheinlich, dass deine ganzen Workarounds mit dem nächsten Update der Antivirensoftware hinfällig werden... sowohl im positiven als auch im negativen Sinne.

Also am sinnvollsten:

Zitat von jaenicke:

Da bleibt nur deine Exe an die Hersteller zu schicken, damit die ihre Definitionen aktualisieren.

Du hast Recht, aber ich will auch nicht mit den AntiVirus Programmierern meine Energie verbrauchen.
Deswegen habe ich nun mit Indy mein Problem gelöst.
nur VBA32 mekert von 20 antivirus Programmen und das ist mir nicht wichtig.
Hier mein funktionierender Code:

zusammenfalten · markieren

Delphi-Quellcode:

procedure TForm1.FormShow(Sender: TObject);
begin
 Button1Click(Self);
end;

procedure TForm1.Button1Click(Sender: TObject);
var responseStream: TFileStream;
begin
 try
  IdHTTP1.Head(Url+downloadFile);
  if (IdHTTP1.ResponseCode <> 404) then
   responseStream := TFileStream.Create(ExtractFilePath(application.exename)+'Repertuar.exe', fmCreate);
  IdHTTP1.Get(url+downloadFile, responseStream); //downloadFile
  MessageDlg('Das Programm wurde aktualisiert.', mtInformation,[mbOk], 0);
  responseStream.free;
 except
  on E: EIdHTTPProtocolException do
   MessageDlg('Das Programm konnte nicht aktualisiert werden!!!.', mtWarning,[mbOk], 0);
 end;
 ShellExecute(Application.Handle,'open',Pchar(ExtractFilePath(application.exename)+'Repertuar.exe'),nil,nil,sw_ShowNormal);
 Form1.Close;
end;

Vielen Dank an euch

markieren

Delphi-Quellcode:

on E: EIdHTTPProtocolException do
   MessageDlg('Das Programm konnte nicht aktualisiert werden!!!.', mtWarning,[mbOk], 0);

Solche Fehlermeldungen liebe ich. Die kann man sich auch sparen, denn sie hilft werde dem Benutzer noch dir, wenn der Benutzer dich fragt, warum das Update nicht funktioniert hat. Wenn du schon die Exception abfängst, dann kannst du doch auch gleich den Exceptiontext ausgeben. Dann hat man zumindest schon mal einen Anhaltspunkt, was nicht funktioniert hat.

Zitat von Luckie:

Solche Fehlermeldungen liebe ich.

Dito!
Hier braucht man eine Fehlerinformationsanreicherungs-Strategie:

markieren

Delphi-Quellcode:

try
  // hier der Code für Download
  ...
on E:Exception do
begin
  E.Message := Format('Update konnte nicht von heruntergeladen werden.'#13#10'Url: %s'#13#10, [url+downloadFile])+
    E.Message; // Orginale Fehlermeldung anhängen
  raise; // Exception neu auslösen; MessageDlg zu verwenden wäre ungeschickt
end;