问题标签 [virus-scanning]

我有一个客户的请求，要求使用他们服务器上的 McAfee Virus Scan 将病毒扫描集成到应用程序中。我做了一些调查，发现 McScan32.dll 是主要的扫描引擎，它导出了各种看起来有用的功能。我还发现提到了 McAfee Scan Engine SDK，但无法获得有关它的更多信息。

是否有人使用过 McAfee Scan Engine SDK，如果有，您从哪里获得有关它的信息。我正在尝试集成到 C# 应用程序中，并且 SDK 似乎可以导出 C 风格的函数，但是一旦我掌握了 SDK，那就是另一个问题了。

我需要确定我的应用程序是否被最流行的防病毒软件包标记为病毒（不是最好的，但用户群最大）。因此，我想知道其他人是如何解决这个问题的。一些背景：

我有一个用 Delphi 编写的应用程序。自从发现 Delphi 病毒以来，我的应用程序就一直存在误报问题，尤其是出于某种原因我的演示版本（它们都共享相同的代码）。AVG 一直很好，我现在可以轻松地将我的文件列入白名单，但后来我得到了最新的 DevExpress 安装程序，它也被误报了。鉴于这种情况越来越普遍，让我感到震惊的是，我需要找出我的应用程序是否被最流行的反病毒包标记。因此，我想知道其他人是如何解决这个问题的。我不希望人们下载我们的演示版本，收到 AV 警告，然后决定不尝试。

到目前为止，我唯一的选择是购买大量的 AV 软件包并将它们放入 VM 中，或者使用像VirusTotal这样的服务。后者似乎是一个理想的选择，但因为它们将测试限制在 20Mb 以下的文件，而我的文件比这大。扩展功能也没有付费选项。（我认为这是一个奇怪的限制，但 Kaperskis 免费检查器限制为 1Mb！）

你如何检查你的应用程序？

我只是花了下午的大部分时间试图找出为什么在 Delphi-2010 IDE 中编译和运行某些项目时，每次我编译它时都会产生“安全风险 - 程序在您的计算机上的行为可疑”警告。

最后结果如下： - 如果版本信息已打开“在您的项目中包含版本信息” - 并且您包含了一个 Developer Express 单元 (fi cxControls)，而不是 Norton Internet Security 的声纳技术正在标记程序可疑（在我的电脑上，这会导致 45 秒的等待和提示）。从IDE外部运行程序，工作正常。

当然，我也会将此标记为对 Developer Express 的支持，但我也想过在这个社区网站上解释这个问题。

如果任何人具有相同的配置，当然可以验证这是真的，我将有义务，因为我只有我自己的电脑来测试它（我的笔记本电脑仍然运行 Norton Internet Security 2009）。

Delphi 7 没有同样的问题（或者我会很快发现这个问题）。

我使用以下主要形式的代码作为测试：

据我所知，安装后我没有更改 Norton Internet Security 2010 的任何设置。

我安装了 Delphi-2010 的最新更新。

Dev.Express 套件 v 47 已安装。

更新：问题不仅限于使用 DevExpress 单元。在 SyntEdit 组件演示的 Main 文件夹中编译 EC_Edit 项目时，我遇到了同样的问题。据我所知（在尝试和精确定位 4 天后！）它与 Delphi 2010 版本的类单元（或类使用的单元之一）有关。

可能重复：
使用 C# 在 Windows 上检测防病毒软件

在 .net 中，我希望能够检测到 Windows 框是否正在运行病毒扫描程序。

Windows 7 知道，因为在“控制面板\系统和安全\操作中心”中它会报告病毒扫描程序的状态。

Java 有内置的防病毒软件吗？
我的一位朋友告诉我，JVM 本身就有——它被称为“沙箱”。这是真的吗？

I'm wanting to scan files a user uploads to our websites on the server-side. I'd prefer it to be something we can run on-demand that doesn't have to be running all the time on the server. What solutions are available for Windows Server 2008 R2? Which products specifically would you recommend?

是否有任何网站提供防病毒定义数据库以帮助制作新的防病毒软件？

有谁知道允许将文档文件上传到该系统的主要站点的示例，我正在考虑允许此上传，但我担心用户上传病毒的可能性。

我担心有人将病毒上传到该站点可能会影响其声誉。

我应该只允许使用 pdf 文件还是必须在服务器上安装某种形式的病毒扫描程序（是否有基于托管的 clam-av 解决方案可用）

可能重复：
我的可执行文件中的防病毒误报

到目前为止，我的程序收到了超过 15 个虚假病毒警报。其中大多数来自卡巴斯基，它总是报告相同的病毒：Trojan-GameThief.Win32.Lmir.pcd。有3个问题：

1. 为什么会出现？
2. 如何预防？
3. 如何检测它？

对于第一个问题，因为它总是检测到相同的病毒，我想这是因为我在所有程序中都使用了我的一个例程。但具体是哪一个，我不知道。对于第二个问题，我正在考虑稍微修改程序并重新编译它，足以更改其代码，以便防病毒软件不再识别它并发布新版本。第三个问题是最难的。如何检查我的所有程序与世界上所有的防病毒程序？

更新：
有人知道如何合法处理这个问题吗？似乎许多 Delphi 开发人员都有同样的问题。鲁莽的防病毒公司通过显示大量误报来赚钱，让他们的客户在实际上没有危险的情况下认为他们是安全的。当我们失去客户时，他们正在创造客户。我将问题告知了防病毒公司，但他们仅针对该特定版本进行了修复。下次我发布更新时，误报再次出现。他们只是不在乎。

许多诚实的开发人员因为粗心的防病毒软件而遇到问题。另请参阅：如何防止我的软件出现误报病毒警报？

也许我们可以联合起来反对此类防病毒产品，并迫使他们对误报更加小心，甚至可以为我们因它们而失去的销售额获得一些收入。我们应该签署一份请愿书，让他们知道我们不再接受这一点。

2017 年更新
* 上周我的程序在 VirusTotal 上的检测率接近 50%。我删除了一行代码，神奇地检测到了 61 个（防病毒）中的 2 个。这些防病毒产品的随机性令人惊讶。
* 当程序编译为“发布模式”（带有编译器优化）时，检测率要比在“调试模式”下编译时高得多。
* 使用 EurekaLog 时检测天空火箭。

更新 2019
已经快 9 年了，并没有太大改善。
不幸的是，InnoSetup 也未能幸免。我使用 InnoSetup 创建了一个虚拟安装程序并将其上传到 VirusTotal。52 个程序中有 5 个报告了误报！

结论：

• 在一天结束时将您的 exe 文件上传到 VirusTotal。如果检测率突然跳跃，请检查您在代码中所做的更改并删除“有害”的更改。
• 使用 WinRar 3 作为安装程序。它引发的标志少于 WinRar 5 或 InnoSetup。

我想使用 ClamAV 和 Python 编写一个小型命令行扫描器。我已经尝试了几个关于这个问题的教程和说明，但无法让它工作。我读过的所有内容都说我需要安装 ClamAV、Clamd 和 Python。我有 Python 和 ClamAV，但我究竟从哪里得到 Clamd？这一切如何协同工作？我应该使用哪个模块？pyclamav 还是 pyclamd？