Hallo

Ich bekomme seit heute im Firmennetzwerk bei meiner Anwendung Probleme mit OfficeScan von Trend Micro.
Ich archiviere Mails nach Docuware. Im Mail - Client werden die Mails als einzelne Dateien (Anhänge, Body etc) in einem Ordner abgelegt.
Diesen Ordner lese ich aus und zeige die Dateien an. Der User kann noch Änderungen machen (PDF' s mit Barcode versehen, splitten etc).
Wenn er auf Archivieren klickt, werden die Dateien in einen anderen Ordner kopiert, aus welchen ein Job von DocuWare diese importiert.
Sind alle Dateien kopiert, lösche ich diese im Quellordner.
Dann schlägt OfficeAScan zu, meldet unauthorisized change und eine MaleWare und wirft den User aus dem Programm.

Das verückte daran ist, dass es nur bei diesem Prozess Probleme gibt. Beim Beenden des Programms lösche ich auch eigene temporäre Dateien ohne Probleme.

Hat jemand das schon mal gehabt und einen Hinweis, wie man das verhindern kann?

Wir haben jetzt bei OfficeScan eine Ausnahme definiert. Aber würde ich die Anwendung verkaufen, hätte ich wohl ein echtes Problem...

Frank Reim

Moin,

wir hatten ab und an auch schon Probleme beim OfficeScan mit erkannten Viren in Dateien, die dann gelöscht wurden, ob wohl diese definitiv sauber waren.
Nach der nächsten Aktualisierung der Software / Viren-Pattern war das aber wieder gut.

Melde deine Anwendung beim AV Hersteller mit dem Hinweis auf ein False Positive. Bei Trend Micro wird es irgendwo eine URL geben, wo du deine Anwendung zur Überprüfung einreichen kannst.

Erst mal Danke für die Antworten.
Ich denke, das Problem ist so einfach nicht zu lösen.
Die Anwendung ist in aktiver Entwicklung und wird es auch noch lange bleiben.
Die EXE wird sich also ständig ändern.
Ich vermute, dass die Heuristik hier greift.
So in der Art, wenn Dateien verschoben und die Quelldateien dann gelöscht werden - böse!
Bisher hatte ich das Problem regelmäßig auf meinen Entwicler Rechner, nie aber auf den Citrix - Servern.
Jetzt meckert er bei mir nicht mehr, aber auf den Servern.

Kann es sein, dass Virenscanner weniger restriktiv arbeiten, wenn die eigene EXE signiert ist oder so was?
Hat keiner sonst gleiche Probleme?

Frank

Wenn du viele Dateien in kurzer Zeit anlegst, veränderst löscht ist das für einen Virenscanner immer Verdächtig.

Wir konnten Problem lösen, in dem wir wenn möglich (wenn die Datei nicht so groß war) statt es in eine Datei wegzuschreiben nur im Speicher bearbeitet haben.
Also statt dem Mailcient diese wegspeichern zu lassen über Memory-Stream arbeiten.

Evtl. hilft auch das diese Aktionen im Windows-Temp-Ordner ablaufen. Und nur Optional in einem Konfigurierten Ordner.
Ich denke beim offiziellen Windows-Tempordner sind Virenscanner auch weniger "skeptisch" bei sowas.

Das Ablegen erfolgt aus Outlook (Melissa Plugin). Das geht nur - da Citrix - in einen Netzwerkordner.
Bei den Dateien könnte ich tatsächlich im Speicher arbeiten. Eine Klasse TFileList mit MemoryStream habe ich schon.
Und da Mails ja nicht ewig gross sein können, ist Speicherplatz kein Problem.

Du meinst:
anstatt von A nach B kopieren und dann in A löschen
von A in Speicher - aus Speicher in B schreiben und in A löschen
könnte für den Virescanner weniger verdächtig erscheinen?

Vielleicht reicht es schon, wenn ich anstatt TFile.Copy das Kopieren über einen Stream mache.

Vielen Dank für deine Anregungen

Frank

OfficeScan (und einige andere Virenscanner) sind weniger zickig, wenn die Änderungen der Dateien von einer signierten Programmdatei ausgehen.
Wir haben das festgestellt, als es beim Kunden mit einem von uns nicht signiertem Tool massiv Probleme gab und allein durch das nachträgliche digitale Signieren weniger Probleme gab. Das "Rumgezicke" des Virenscanners ging nicht komplett weg, wurde aber erheblich reduziert. Dabei machte es auch einen Unterschied, ob man eine "normale" Signatur verwendet oder eine mit extended validation. Mit EV signierten Binaries haben wir bisher die geringsten Probleme beim Kunden (dafür mehr Kosten für die EV Signatur und die Einschränkungen beim automatisierten Signieren von Binaries).
Speziell bei OfficeScan ist uns noch aufgefallen, dass es bei älteren Windows-Server-Versionen eher zu Problemen kommt, während aktuelle Windows-Server-Versionen praktisch fehlerfrei mit OfficeScan funktionieren.

Vielen Dank, Fred!
Das sind wirklich wertvolle Hinweise. Ich werde es morgen mit meinem Chef diskutieren.

Momentan habe ich mein Programm so umgestellt, dass nicht mehr gelöscht sonder in ein anderes Verzeichnis verschoben wird.
Löschen erfolgt dann nachts mit der Aufgabenplanung.
Man muss dann halt bei Server - Tausch / Umzug immer schön dran denken, auch die Tasks wieder einzurichten.

Frank