Probleme mit AV-Programmen

Post a reply


In an effort to prevent automatic submissions, we require that you complete the following challenge.
Smilies
:D :) ;) :( :o :shock: :? 8-) :lol: :x :P :oops: :cry: :evil: :twisted: :roll: :!: :?: :idea: :| :mrgreen: :geek: :ugeek: :arrow: :angel: :clap: :crazy: :eh: :lolno: :problem: :shh: :shifty: :sick: :silent: :think: :thumbup: :thumbdown: :salute: :wave: :wtf: :yawn: :facepalm: :bravo: :dance: :beard: :morebeard: :xmas: :HeHe: :trollface: :cookie: :rainbow: :monkeysee: :monkeysay: :happybday: :headwall: :offtopic: :superhappy: :terms: :beer:
View more smilies

BBCode is ON
[img] is OFF
[flash] is OFF
[url] is ON
Smilies are ON

Topic review
   

Expand view Topic review: Probleme mit AV-Programmen

Re: Probleme mit AV-Programmen

Post by nnnik » 23 Jan 2019, 06:40

Ja man wird es nie ganz los.

Re: Probleme mit AV-Programmen

Post by Zvonko » 23 Jan 2019, 06:22

Verstehe.

Bei diesem Punkt ging es mir momentan um die Frage einer möglichen Strategie, das Problem loszuwerden durch kompletten Verzicht aufs Compilieren (und ggf. auch aus Komprimieren). Jetzt stehen aber in deiner Antwort praktisch alle möglichen Antworten drin: "an sich" sei man das Problem los; steigt man auf eine neue Interpreter-Version um, hat man evtl. wochenlang doch Probleme; und verwendet jemand eine AHK-App, die als Skript+Interpreter konzipiert ist, kann er irgendeinmal dann doch wieder Probleme haben, weil "ältere Versionen ... dann anfälliger" werden können. Hab ich dich da richtig verstanden? (Man kommt und kommt nicht aus des Teufels Küche ...?)

Welche Erfahrungen haben andere hier zu diesem Punkt?

Re: Probleme mit AV-Programmen

Post by nnnik » 23 Jan 2019, 06:05

An sich wird der AHK Interpreter unkomprimitert nicht erkannt.
Die Komprimierung hat sich bei mir immer so Verhalten als ob man das AV Programm Fragen würde einen als Virus zu behandeln - d.h. verwende ich keine.
Sobald eine neue AHK Version rauskommt wird die normalerweise für 3-4 Wochen mit vielen False Positives belegt sein, danach reduziert sich die Menge erheblich.
Ältere Versionen vom AHK Interpreter können dann anfälliger sein.

Jedoch kann das verwenden von Skripten die Sicherheitsrelevante Aktionen ausführen immer noch zu Problemen führen.

Re: Probleme mit AV-Programmen

Post by Zvonko » 23 Jan 2019, 05:32

Verstehe.

Kann von anderen hier bestätigt werden, dass "AHK selber [der Interpreter] selten Probleme hat mit False-Positives wenn es nicht komprimiert ist"? (Ahk_fan hat in Bezug auf McAfee angedeutet, dass es seit ... keine Meldungen mehr gibt; davor also schon ...) Wie wäre die allgemeine Erfahrung mit komprimiertem Interpreter?

Bis dann!

Re: Probleme mit AV-Programmen

Post by nnnik » 23 Jan 2019, 05:24

AHK selber wäre dann einer Detektion bei der Installation und beim ausführen von unkompilierten Skripten möglich.
Da AHK selber selten Probleme mit False-Positives hat wenn es nicht kompiliert ist sehe ich da nicht viel Sinn.
AHK kann dieses Zertifikat dann nicht automatisch auf kompilierte Programme anwenden - dafür bräuchte man ein neues Zertifikat da sich die Signatur der Datei verändert.

An sich ist ein Zertifikat ein guter Weg die meisten Antivirenprogramme davon abzuhalten dein Programm als Schadsoftware zu erkennen.
Es gibt allerdings auch Schwarze Schafe unter den Antiviren Programmen.

Re: Probleme mit AV-Programmen

Post by Zvonko » 23 Jan 2019, 05:16

Thanks, Ahk_Fan!

Dein Bericht bestätigt auch, wie launenhaft die AV-Programme sein können. Mich bringt insbesondere Windows Defender laufend zur Verzweiflung.

Ärgerlich ist, dass man sich eigentlich auf nichts verlassen und einstellen kann, weil es mal bei einem selber keine Probleme gibt, bei jemanden anderen aber doch, und plötzlich ändert sich was und AV-Programme machen bei beiden Probleme, oder nur bei mir, oder doch mal bei beiden nicht.

OK, was fällt uns noch ein? Ich würde mich freuen, wenn nnnik noch die Frage zu dem Zertifikat für AHK beantworten könnte: "... man müsste am Ende auch noch sicherstellen, dass eine "Signatur einer AV Detektion vorbeugt". Das wäre aber bei AHK schon auch machbar, oder? Wären also theoretisch auf diesem Weg so gut wie alle AV-Probleme beseitigbar?"

Bis dann.

Re: Probleme mit AV-Programmen

Post by Ahk_fan » 22 Jan 2019, 16:29

miene Erfahrungen:
geschäftlich:
McAfee reagiert nach Gruppenrichtlinieneinstellung auf AutohotkeyU32.exe+AutohotkeyU64.exe gut seit die Richtlinien angepasst wurden, d.h. keine Meldung
--> ABER wenn ein Script compiliert wird UND mit MPRESS komprimiert wird, sieht es nicht so gut aus --> deswegen lass ich MPRESS seit ca. 1 Jahr weg, dann keine Probleme bis jetzt

privat:
ESET --> reagiert oft und löscht ungefragt die EXE. Die mit MPRESS immer, die OHNE MPRESS nur mit nachfrage
MS Defender --> Meckert seit 1 Monat immer über compilierte Datein mit MPRESS komprimiert, seit 2-3 Tagen auch wegen nicht komprimierten :-(

Re: Probleme mit AV-Programmen

Post by Gerdi » 21 Jan 2019, 18:47

Ich habe eigentlich keine Probleme mit Vieren-Programmen, weder beruflich noch privat. Ich verwende allerdings keine kompilierten Skripte, sondern bei Weitergabe die gleichnamig wie das Skript umbenannte Autohotkey.exe. Aber als ich kürzlich versehentlich mi der Maus statt edit Skript drüber compile Skript erwischte. Habe ich gedacht jetzt teste ich auch mal ob sich die kombilierte Version starten lässt. Daraufhin meldete sich Free-AV mit einem potentiellen Gefahrenhinwweis. Hat dann aber nichts näheres gefunden. Lange Rede kurzer Sinn: Eventuell bringt es schon etwas nicht zu kompilieren!

Re: Probleme mit AV-Programmen

Post by Zvonko » 21 Jan 2019, 10:58

nnnik, danke ... was man da alles so nebenbei erfährt über unser wunderbares AHK! (Es ist aber auch ein wunderbares Ding, dieses AHK, oder!?)

Was aber die bisherige Diskussion auch noch zeigt: Schon ein kleines bisschen Brainstorming bringt gleich neue Perspektiven ...

OK, du sagtest dann aber auch nebenbei einschränkend, man müsste am Ende auch noch sicherstellen, dass eine "Signatur einer AV Detektion vorbeugt". Das wäre aber bei AHK schon auch machbar, oder? Wären also theoretisch auf diesem Weg so gut wie alle AV-Probleme beseitigbar?

Bis dann.

PS: gregster, auch wieder viel Interessantes von dir, danke! (Möge dieses Brainstorming weiterhin so produktiv bleiben!)

Re: Probleme mit AV-Programmen

Post by gregster » 21 Jan 2019, 10:56

Tja, die genauen Vorgänge in den AV-Firmen erschließen sich mir nicht. Ob es mit bestimmten Codemerkmalen im AHK-Interpreter (der ja auch in einer AHK-exe immer mit dabei ist), fehlenden Zertifikaten, zu geringer Verbreitung von AHK und/oder fehlender PR zu tun hat, ich weiß es nicht. Vielleicht spielt da auch inzwischen eine Rolle, dass AHK inzwischen schon eine ziemlich lange Akte (10+ Jahre) bei den AV-Herstellern hat, ob zurecht oder nicht. Ich befürchte nämlich, dass die Anzahl der User, die 'false positives' bei den Firmen zum Review einreichen, eher gering ist und damit viele falsche Erkennungen nicht aufgeklärt werden und weiterhin in den entsprechenden Datenbanken herumdümpeln. Damit ist AHK wahrscheinlich als risikobehaftetes Tool gebrandmarkt.

Aber wenn man im Netz sucht, findet man hier und da non-AHK-Programmierer, die bei neuen Versionen ihrer Software regelmäßig zur Verzweiflung getrieben werden: Rick Strahl äußert sich bspw hier über seine Erkenntnisse bzgl. der Ursachen und geht auch auf Zertifikate ein: https://weblog.west-wind.com/posts/2016/Oct/05/Dealing-with-AntiVirus-False-Positives
Der Programmierer der zugegebenermaßen sehr mächtigen Nirsoft Tools hat sich auch mal (vor langer Zeit) geäußert und damals bereits AHK als Leidensgenosse benannt: http://blog.nirsoft.net/2009/05/17/antivirus-companies-cause-a-big-headache-to-small-developers/ Aber ich glaube da hat sich auch in 10 Jahren nicht viel verbessert für ihn. Diese Tools sind mir jedenfalls schon regelmäßig von AV-Programmen gelöscht wurden (während ich mit AHK wenig Probleme hatte).

Re: Probleme mit AV-Programmen

Post by nnnik » 21 Jan 2019, 10:44

Ja normalerweise schon - wenn du die selben Techniken wie AHK benutzt kann es sein, dass du sehr schnell Probleme bekommst.
lexikos ist der Hauptentwickler von AHK.
Ich habe versucht beim AutoHotkey Quellcode mitzuarbeiten, aber lexikos macht das nicht einfach, so dass ich es wieder sein gelassen hab.
Ich kann mir nicht so sicher, dass wir lexikos übereden können ein Zertifikat für AHK zu erstellen. Wir müssten ihm das schon auf dem Silbertablett servieren.
Ich habe aber nicht die Motivation das zu tun - vor allem da lexikos nun schon mal wieder seit einigen Monaten verschwunden ist.

Re: Probleme mit AV-Programmen

Post by Zvonko » 21 Jan 2019, 10:19

Danke, gregster, sehr interessant, was du da berichtest.

Aber, ist denn AHK wirklich potentiell gefährlicher als irgendein sonstiges bzw. gängiges "Programmierwerkzeug", irgendeine "richtige" Programmiersprache? Wenn in einer solchen Programmiersprache ein Hotkey programmiert wird, hat dann auch dieses Programm gleich AV-Probleme?

Re: Probleme mit AV-Programmen

Post by gregster » 21 Jan 2019, 10:04

Während AHK schon lange misstrauisch von AV-Programmen betrachtet wurde (entweder pauschal, aufgrund Verwendung bestimmter Packer oder auf heuristischer Basis) scheint erschwerend hinzuzukommen, dass es letztes Jahr offenbar ein erhöhtes Aufkommen an AHK-basierter Malware gab. Dieser Trend hat wahrscheinlich nicht geholfen. Optimisten mögen einwenden, dass dies helfen könnte, dass AV-Anbieter ihre AHK-Heuristiken nun verbessern. Bislang bin ich allerdings skeptisch.
Siehe z. B.
https://www.bleepingcomputer.com/news/security/autohotkey-malware-is-now-a-thing/
https://www.cybereason.com/blog/fauxpersky-credstealer-malware-autohotkey-kaspersky-antivirus
https://www.ixiacom.com/company/blog/living-land%E2%80%94malware-21st-century

Das ging soweit, dass letztes oder vorletztes Jahr ein damals relativ neues und inzwischen gelöschtes, aber offenbar nicht besonders programmiererfahrenes Forumsmitglied versuchte, durch eine lange Reihe von spezifischen Einzelfragen, sich einen (sich selbst verbergenden) Cryptominer (aka Malware) zusammenzubasteln. Ob das Unternehmen in diesem Fall von Erfolg gekrönt worden wäre, bin ich nicht sicher, aber als ich ihn auf meinen Verdacht ansprach, gab er es direkt zu - nach dem Motto: was soll's, machen doch heutzutage alle!
Aber, dass es solche Malware nichtsdestotrotz 'in the wild' gibt, sah man bspw. hier: https://www.autohotkey.com/boards/viewtopic.php?t=49724

Re: Probleme mit AV-Programmen

Post by Zvonko » 21 Jan 2019, 10:00

Danke, nnnik, für deine "aufbauende" Info.

Für den AHK-Interpreter selbst z.B. wäre eine Zertifizierung kein (zumindest theoretisch) gangbarer Weg? Du deutest an, das sei etwas, was du dir nicht antun willst -- wie meinst du das; bist du mit dabei bei der Entwicklung neuer Releases? Wenn der Interpreter mit einem Zertifikat versehen wäre, würde man dann zumindest bei unkompilierten Skripts, also wenn man einen Skript mit dem Interpreter laufen lässt, frei von AV-Belästigungen sein?

Bis dann.

Re: Probleme mit AV-Programmen

Post by nnnik » 21 Jan 2019, 09:27

Natürlich müsstest du dich auch informieren inwiefern eine korrekte Signatur einer AV Detektion vorbeugt - eine kurze Google Suche hat mir allerdings positive Resultate versprochen.

Re: Probleme mit AV-Programmen

Post by nnnik » 21 Jan 2019, 09:15

Hmm ja es würde Sinn machen, Public Key Verschlüsselungen wie RSA zu verstehen.
Du müsstest ein Grundwissen über Hashing haben und dann wie beides in Zertifikaten verknüpft ist.
Danach ist es nicht mehr viel du müsstest die halt Anschauen, was eine CA (Certificate Authority) ist.
Als letztes müsstest du dich halt in deinem besonderen Fall darum kümmern, dass du eine CA bekommst die dir ein passendes Zertifikat (für Windows Programme) ausstellt - wie du dieses entsprechend sicherst und wie du dann deine resultierenden AHK Programme signierst.

Re: Probleme mit AV-Programmen

Post by Zvonko » 21 Jan 2019, 07:16

Hallo, nnnik!

Ich sehe, du hast da voll den Durchblick (hinsichtlich der AHK-seitigen Möglichkeiten), also muss ich deine dezidierte Info zur Kenntnis nehmen.

Danke für den Hinweis zu Zertifikaten. Kannst du mir dazu auch noch einen Einstigstipp geben?

Bis dann.

Re: Probleme mit AV-Programmen

Post by nnnik » 21 Jan 2019, 06:45

Nein man kann die Ähnlichkeit AHK-seitig auf keine Art minimieren.

Antiviren Programme versuchen natürlich die Unterschiede zwischen gutartig und bösartig zu erkennen.
Virenhersteller versuchen dann diese Ähnlichkeiten auszunutzen um ihre Viren als gutartige Programme zu tarnen.
Das führt dazu, dass die Antiviren-Programme neue Methoden einsetzen um dies zu erkennen.
Dies führt dazu, dass andere Programme nun als Viren erkannt werden - darunter auch gutartige.
Diese werden dann dem Antiviren-Hersteller als Falschmeldung gemeldet, der dann wiederum an seinen Erkennungsmethoden arbeiten müsste.

Mehr können wir nur machen indem wir mit Zertifikaten arbeiten - jedoch ist das etwas was ich mir nicht antun will.
Privat kannst du dir auch ein eigenes Zertifikat leisten - es kostet jedoch.

Re: Probleme mit AV-Programmen

Post by SL5 » 21 Jan 2019, 05:40

I remembered something when I was in a permanent position as a software developer in a big firm.
the developers were allowed to compile programs without asking.
So we compiled autohotkey.

that was not so easy I think you should already make normal users a guide.

I think that could boost confidence. something you do not install , compile yourself first.

an online configurator that only takes over the functionalities you need. thats dream :-)

Re: Probleme mit AV-Programmen

Post by Zvonko » 21 Jan 2019, 05:37

Danke, nnnik!

Verstehe. Deine Antwort legt zunächst nahe, es sei praktisch von vornherein sinnlos, darüber nachzudenken, ob man da was ändern könnte.

Ich verstehe leider so gut wie nichts über die Details. Zusätzlich irritierend an dem Problem ist, dass einzelne Programme beim Scannen nichts finden, in der Folge aber dann doch Probleme machen, oder dass man auch nach Ausnahmen-Eintragung noch belästigt wird.

Mich wundert es enorm, wie stoisch in der Community mit diesem Problem umgegangen wird. Machen denn alle AHK-Anwender nur Programme für sich oder für die Community (wo man als Insider schon weiß, wie man sich mit dem eingesetzten AV-Programm ggf. arrangieren kann), und keine für Drittnutzer, wo es dann zwangsweise zum Ärger kommt?

Könnte man aber nicht evtl. doch noch an einem Punkt in deiner Antwort ansetzen, nämlich an "Ähnlichkeit" mit den bösen Programmen? Erstens, ließe sich diese Ähnlichkeit AHK-seitig evtl. minimieren, und zweitens, wäre es auf der Seite der AV-Programme theoretisch möglich zu erkennen, dass es sich bloß um eine Ähnlichkeit handelt und wir also nicht belästigt werden sollen? Sollte das Letztere möglich sein, könnten wir als Community doch zumindest Überzeugungsarbeit (oder gleich sanften Druck?) gegenüber Herstellern von AV-Programmen in diese Richtung leisten ...

Bis dann.

PS: Danke, SL5. "Ja ausserhalb sind die leute oft misstrausisch" ... Was man ihnen aber ja unmöglich beklagend vorwerfen kann; als reiner Anwender muss man ja misstrauisch sein, echte Bedrohungen gibt es genug.

Top