DOBON.NETプログラミング道掲示板

HOME HELP 新規作成 新着記事 ツリー表示 スレッド表示 トピック表示 発言ランク ファイル一覧 検索 過去ログ

[ 最新記事及び返信フォームをトピックトップへ ]

■33606 / inTopicNo.1)  ウィルスバスターについての質問
  
□投稿者/ chobi 一般人(1回)-(2017/03/17(Fri) 18:02:14)
  • アイコン環境/言語:[Windows7 .NET4.0 C#] 
    分類:[その他] 

    御世話になります。
    開発環境にウィルスバスターが入っています。
    ウィルスバスタの機能の中にリアルタイムで怪しいファイルないか調べる
    サービス(NTRtScan.exe)があるのですが、こいつがビルド後の実行ファイルを
    隔離してしまいます。
    以下トレンドマイクロ社からの回答
    「ファイルで使用されているAPI関数を検出できません。API関数の
    使用がプログラム開発者によって意図的に隠されています。
    通常はAPI関数が隠されることはなく、ウイルス対策ソフトウェア
    で検出されないことを意図したものである可能性があります」

    何を言っているのかいまいち分かりかねますが、対処方法
    ご存じの方いらっしゃいましたら宜しくお願いします。

マルチポストを報告
違反を報告
引用返信 削除キー/
■33607 / inTopicNo.2)  Re[1]: ウィルスバスターについての質問
□投稿者/ 魔界の仮面弁士 大御所(1068回)-(2017/03/17(Fri) 19:28:53)
  • アイコンNo33606に返信(chobiさんの記事)
    > サービス(NTRtScan.exe)があるのですが、こいつがビルド後の実行ファイルを
    > 隔離してしまいます。
    安全だと分かっている場合は、ビルドフォルダを例外設定しておくことで
    ビルドを進められるとは思いますが、今回の件は、その実行可能フォルダが
    例外設定しない場所に配置された場合に、検閲隔離されてしまうのでしょうか。


    > 以下トレンドマイクロ社からの回答
    既に実施されているように、メーカー側に問い合わせて
    対応を交渉するしか無いと思います。

    検出アルゴリズムは基本的に非公開情報ですので、
    EXE にせよ Web にせよ、誤検知された場合に取れる対策は
    あまり多くないのが実情かと。

    http://forest.watch.impress.co.jp/docs/news/720026.html
    https://security.srad.jp/story/12/07/11/0257259/
    http://www.applitech.co.jp/Kokuso.html


    他社製品で同様の誤検知にやられたことがありますが、うちは
    一時的なものだったので、検出エンジンの更新されるまでの
    比較的短期間の被害で済みました。

    重大な誤検知でなければ、検閲隔離されたファイルは
    「復元」で戻せるので、当方はしばらく運用回避で凌いでました。
    回答になっておらず申し訳ありません。

    なお、セキュリティソフトによっては、EVコードサイニング証明書の
    適用によって、誤検出問題を回避できるケースがあると聞いたことがありますが
    トレンドマイクロ社がそうであるかどうかは把握していません。


    > 「ファイルで使用されているAPI関数を検出できません。API関数の
    > 使用がプログラム開発者によって意図的に隠されています。
    > 通常はAPI関数が隠されることはなく、ウイルス対策ソフトウェア
    > で検出されないことを意図したものである可能性があります」
    難読化処理を施しているわけではないのですよね?
    https://msdn.microsoft.com/ja-jp/library/ms227240%28vs.90%29.aspx
違反を報告
引用返信 削除キー/
■33608 / inTopicNo.3)  Re[2]: ウィルスバスターについての質問
□投稿者/ chobi 一般人(2回)-(2017/03/17(Fri) 21:08:03)
  • アイコン御返事ありがとうございます。

    > 安全だと分かっている場合は、ビルドフォルダを例外設定しておくことで
    > ビルドを進められるとは思いますが、今回の件は、その実行可能フォルダが
    > 例外設定しない場所に配置された場合に、検閲隔離されてしまうのでしょうか。

    はい、例外設定すれば、隔離されませんが、例外設定した場所でしか使えないのは
    不便でしょうがありません。配布したあともユーザー先で削除されては
    たまりません。

    > 既に実施されているように、メーカー側に問い合わせて
    > 対応を交渉するしか無いと思います。
    >
    > 検出アルゴリズムは基本的に非公開情報ですので、
    > EXE にせよ Web にせよ、誤検知された場合に取れる対策は
    > あまり多くないのが実情かと。
    >
    > http://forest.watch.impress.co.jp/docs/news/720026.html
    > https://security.srad.jp/story/12/07/11/0257259/
    > http://www.applitech.co.jp/Kokuso.html

    おっしゃる通り、詳しく聞きましたが、検出アルゴリズム非公開とのことで
    今のところよい対策はありません。
    (ウィルスバスターもウィルスですね・・・)

    > 他社製品で同様の誤検知にやられたことがありますが、うちは
    > 一時的なものだったので、検出エンジンの更新されるまでの
    > 比較的短期間の被害で済みました。
    >
    > 重大な誤検知でなければ、検閲隔離されたファイルは
    > 「復元」で戻せるので、当方はしばらく運用回避で凌いでました。
    > 回答になっておらず申し訳ありません。
    >
    > なお、セキュリティソフトによっては、EVコードサイニング証明書の
    > 適用によって、誤検出問題を回避できるケースがあると聞いたことがありますが
    > トレンドマイクロ社がそうであるかどうかは把握していません。

    EVコードサイニング証明書-->トレンドマイクロに聞いてみます。
    特に難読化処理はしておりません。
違反を報告
引用返信 削除キー/



トピック内ページ移動 / << 0 >>

このトピックに書きこむ

Mode/  Pass/

HOME HELP 新規作成 新着記事 ツリー表示 スレッド表示 トピック表示 発言ランク ファイル一覧 検索 過去ログ

- Child Tree -