WinFuture-Forum.de: Meine selbst geschriebene exe-Datei wird als Virus deklariert - WinFuture-Forum.de

Ich habe ein Programm in Go geschrieben, um PDFs und Zip-Dateien mit LaTeX und Bordmitteln des Betriebssystems zu erstellen (es muss unter Linux und Windows funktionieren). Vor ein paar Tagen hat der Windows Defender meine Exe als Trojaner eingestuft. Da ich die Datei mit Freunden teile: Wie kann ich sicherstellen, dass mein Programm nicht als Virus eingestuft wird?


Die PDFs und die Zip-Datei werden in einem Exportordner erstellt. Die folgenden Schritte werden durchgeführt:

• Der Exportordner wird geleert.
  
• Ein Bild wird auf eine bestimmte Größe geprüft.
  
• .tex-Dateien werden vorübergehend kopiert.
  
• LaTex/Docker wird gestartet und erzeugt aus den .tex-Dateien verschiedene PDFs.
  
• Eine Zip-Datei wird erstellt.
  
• Vorübergehende Kopien werden entfernt
  
• Einige von LaTeX erstellte Dateien werden gelöscht
  
• Der Text in der Konsole wird grün oder rot angezeigt.

Ich habe das Programm kompiliert mit:

GOOS=Windows GOARCH=amd64 go build -o start_myprogramm.exe -ldflags="-s -w" src/,y-programm.go;

Mein Import sieht wie folgt aus:

import (
    "archiv/zip"
    "bufio"
    "fmt"
    "image"
    _ "image/jpeg"
    "io"
    "log"
    "os"
    "os/exec"
    "pfad/dateipfad"
    "regexp"
    "strings"
    "sync"
    "time"


    "github.com/fatih/color"
)

Ich habe ähnliche Fälle gelesen. Unter anderem stand dort, dass man die Datei signieren kann. Könnte dies die Lösung für das Problem sein?

Bei selbstgeschriebenen Programmen kenne ich sowas,
wenn die "EXE" mit einem EXE-Packer bearbeitet wurde.

Was interessant wäre ist, ob die "Erkennung" rein den Defender betrifft oder ob auch andere querschlagen. Lade das File mal hier hoch und lasse es prüfen:

https://www.virustotal.com/gui/home/upload

Was oft zu solchen Fehlerkennungen führt sind Aktionen, die gerne von Schädlingen ausgeführt werden (bspw. den Cache zu durchforsten oder Änderungen am OS vorzunehmen).

Bei virustotal.com schlagen 5 Stück an...


Gibt es eine Möglichkeit herauszufinden, warum genau die Programme anschlagen?

Ich nutze Funktionen, wie os.Remove, os.Mkdir und exec.Command. Letzteres z.B. um LaTeX bzw. Docker zu starten.

Zitat (rkuehlw: 27. Dezember 2023 - 09:19)

Ein AV-Programm analysiert deinen Programmcode und vergleicht ihn mit allen bisher bekannten schädlichen Programmcodes. Stimmt nun ein gewisser Prozentsatz überein, meldet das Programm den Code als verdächtig. Dein Programm besitzt offenbar Verhaltensweisen, die typisch für ein Schadprogramm sind. Daran wird es liegen.

Zitat (rkuehlw: 26. Dezember 2023 - 09:42)

Die großen Softwarehersteller signieren ihre Programme mit einem kryptierten Schlüssel, um sich als Ersteller der Software kenntlich zu machen. Ich weiß nicht, ob das auch privat so ohne weiteres geht. Das wird sicherlich auch kosten.

Was man auf alle Fällen machen könnte, wäre das Programm an die entsprechenden AV-Anbieter zu schicken und versuchen, dieses auf die White-List zu setzen.