Probleme mit AV-Programmen

Stelle Fragen zur Programmierung mit Autohotkey

Moderator: jNizM

Zvonko
Posts: 210
Joined: 19 Jun 2015, 11:52

Probleme mit AV-Programmen

20 Jan 2019, 18:41

Hallo!

Weiß vielleicht jemand hier Genaueres darüber, warum konkret so viele AV-Programme so false-positive-lastig sind bei AHK-Programmen? (Man sollte eigentlich 'lästig' sagen, aber das wäre in meinen Augen ein zu mildes Wort.)

Woher genau kommt dieses Problem? Und das seit so vielen Jahren.

In letzter Zeit aber definitiv gehäuft. Ich habe mit zwei Kollegen, die unterschiedliche AV-Programme verwenden, ein paar Versuche gemacht, und das Ergebnis ist wirklich schlimm: Wenn die betreffenden Ordner nicht von der AV-Überwachung ausgeschlossen werden, machen alle 5 getesteten AV-Programme arge Schwierigkeiten: Warnungen sowieso, aber immer wieder landen Dateien in der Quarantäne, manchmal wird auch das Kopieren von Dateien im Netzwerk blockiert, zudem verhalten sich AV-Programme dabei vom Tag zu Tag anders.

Bei sich selbst kann man die Probleme ja minimieren, wenn man sich um die Eintragung der Ausnahmen kümmert (obwohl: sogar nach erfolgter Eintragung schaffen es die Schutzprogramme immer wieder, vom verdächtigem Verhalten der SW zu warnen), aber wenn man AHK-Programme anderen Benutzern (außerhalb der AHK-Community) zur Verfügung stellt, sind Ärger, Misstrauen, Flops vorprogrammiert.

Ich finde, wir sollten uns des Problems endlich ernsthafter annehmen. Die Erzeuger von AV-Programmen reagieren offensichtlich überhaupt nicht auf die individuell eingeschickten Meldungen von Anwendern, zumindest nicht so, dass das Problem insgesamt abnehmen würde. Vielleicht könnten wir als Community da mehr erreichen.

Also, gibt es da konstruktive Ideen, was man da unternehmen, wo man alles ansetzen könnte???
For me as a newbie it is frustrating to fail due to "little" problems in projects in which the entire concept and even complex functions are working perfectly...
User avatar
nnnik
Posts: 4329
Joined: 30 Sep 2013, 01:01
Location: Germany

Re: Probleme mit AV-Programmen

21 Jan 2019, 03:57

AHK verwendet Techniken, die an sich auch von Keyloggern verwendet werden um Hotkeys abzufangen.
Diese Ähnlichkeit können wir nicht beheben und die Unterscheidung muss von den AV Programmen gemacht werden.
Eine Möglichkeit wäre es natürlich die Hotkey Funktionalität zu entfernen - allerdings wäre das nicht gut für AHK.
Recommends AHK Studio
User avatar
SL5
Posts: 877
Joined: 12 May 2015, 02:10
GitHub: sl5net
Contact:

Re: Probleme mit AV-Programmen

21 Jan 2019, 05:01

I had the problem reloading a script. that reloads itself if i change the code.
Zvonko wrote:
20 Jan 2019, 18:41
...
Bei sich selbst kann man die Probleme ja minimieren, wenn man sich um die Eintragung der Ausnahmen kümmert (obwohl: sogar nach erfolgter Eintragung schaffen es die Schutzprogramme immer wieder, vom verdächtigem Verhalten der SW zu warnen), aber wenn man AHK-Programme anderen Benutzern (außerhalb der AHK-Community) zur Verfügung stellt, sind Ärger, Misstrauen, Flops vorprogrammiert.
... Also, gibt es da konstruktive Ideen, was man da unternehmen, wo man alles ansetzen könnte???
Danke für deine Anregung usw.

Ja ausserhalb sind die leute oft misstrausisch. Sogar jemand dabei gewesen der selbst Programmierer nennt. naja. Eher die Aussnahme.
Zvonko
Posts: 210
Joined: 19 Jun 2015, 11:52

Re: Probleme mit AV-Programmen

21 Jan 2019, 05:37

Danke, nnnik!

Verstehe. Deine Antwort legt zunächst nahe, es sei praktisch von vornherein sinnlos, darüber nachzudenken, ob man da was ändern könnte.

Ich verstehe leider so gut wie nichts über die Details. Zusätzlich irritierend an dem Problem ist, dass einzelne Programme beim Scannen nichts finden, in der Folge aber dann doch Probleme machen, oder dass man auch nach Ausnahmen-Eintragung noch belästigt wird.

Mich wundert es enorm, wie stoisch in der Community mit diesem Problem umgegangen wird. Machen denn alle AHK-Anwender nur Programme für sich oder für die Community (wo man als Insider schon weiß, wie man sich mit dem eingesetzten AV-Programm ggf. arrangieren kann), und keine für Drittnutzer, wo es dann zwangsweise zum Ärger kommt?

Könnte man aber nicht evtl. doch noch an einem Punkt in deiner Antwort ansetzen, nämlich an "Ähnlichkeit" mit den bösen Programmen? Erstens, ließe sich diese Ähnlichkeit AHK-seitig evtl. minimieren, und zweitens, wäre es auf der Seite der AV-Programme theoretisch möglich zu erkennen, dass es sich bloß um eine Ähnlichkeit handelt und wir also nicht belästigt werden sollen? Sollte das Letztere möglich sein, könnten wir als Community doch zumindest Überzeugungsarbeit (oder gleich sanften Druck?) gegenüber Herstellern von AV-Programmen in diese Richtung leisten ...

Bis dann.

PS: Danke, SL5. "Ja ausserhalb sind die leute oft misstrausisch" ... Was man ihnen aber ja unmöglich beklagend vorwerfen kann; als reiner Anwender muss man ja misstrauisch sein, echte Bedrohungen gibt es genug.
For me as a newbie it is frustrating to fail due to "little" problems in projects in which the entire concept and even complex functions are working perfectly...
User avatar
SL5
Posts: 877
Joined: 12 May 2015, 02:10
GitHub: sl5net
Contact:

Re: Probleme mit AV-Programmen

21 Jan 2019, 05:40

I remembered something when I was in a permanent position as a software developer in a big firm.
the developers were allowed to compile programs without asking.
So we compiled autohotkey.

that was not so easy I think you should already make normal users a guide.

I think that could boost confidence. something you do not install , compile yourself first.

an online configurator that only takes over the functionalities you need. thats dream :-)
User avatar
nnnik
Posts: 4329
Joined: 30 Sep 2013, 01:01
Location: Germany

Re: Probleme mit AV-Programmen

21 Jan 2019, 06:45

Nein man kann die Ähnlichkeit AHK-seitig auf keine Art minimieren.

Antiviren Programme versuchen natürlich die Unterschiede zwischen gutartig und bösartig zu erkennen.
Virenhersteller versuchen dann diese Ähnlichkeiten auszunutzen um ihre Viren als gutartige Programme zu tarnen.
Das führt dazu, dass die Antiviren-Programme neue Methoden einsetzen um dies zu erkennen.
Dies führt dazu, dass andere Programme nun als Viren erkannt werden - darunter auch gutartige.
Diese werden dann dem Antiviren-Hersteller als Falschmeldung gemeldet, der dann wiederum an seinen Erkennungsmethoden arbeiten müsste.

Mehr können wir nur machen indem wir mit Zertifikaten arbeiten - jedoch ist das etwas was ich mir nicht antun will.
Privat kannst du dir auch ein eigenes Zertifikat leisten - es kostet jedoch.
Recommends AHK Studio
Zvonko
Posts: 210
Joined: 19 Jun 2015, 11:52

Re: Probleme mit AV-Programmen

21 Jan 2019, 07:16

Hallo, nnnik!

Ich sehe, du hast da voll den Durchblick (hinsichtlich der AHK-seitigen Möglichkeiten), also muss ich deine dezidierte Info zur Kenntnis nehmen.

Danke für den Hinweis zu Zertifikaten. Kannst du mir dazu auch noch einen Einstigstipp geben?

Bis dann.
For me as a newbie it is frustrating to fail due to "little" problems in projects in which the entire concept and even complex functions are working perfectly...
User avatar
nnnik
Posts: 4329
Joined: 30 Sep 2013, 01:01
Location: Germany

Re: Probleme mit AV-Programmen

21 Jan 2019, 09:15

Hmm ja es würde Sinn machen, Public Key Verschlüsselungen wie RSA zu verstehen.
Du müsstest ein Grundwissen über Hashing haben und dann wie beides in Zertifikaten verknüpft ist.
Danach ist es nicht mehr viel du müsstest die halt Anschauen, was eine CA (Certificate Authority) ist.
Als letztes müsstest du dich halt in deinem besonderen Fall darum kümmern, dass du eine CA bekommst die dir ein passendes Zertifikat (für Windows Programme) ausstellt - wie du dieses entsprechend sicherst und wie du dann deine resultierenden AHK Programme signierst.
Recommends AHK Studio
User avatar
nnnik
Posts: 4329
Joined: 30 Sep 2013, 01:01
Location: Germany

Re: Probleme mit AV-Programmen

21 Jan 2019, 09:27

Natürlich müsstest du dich auch informieren inwiefern eine korrekte Signatur einer AV Detektion vorbeugt - eine kurze Google Suche hat mir allerdings positive Resultate versprochen.
Recommends AHK Studio
Zvonko
Posts: 210
Joined: 19 Jun 2015, 11:52

Re: Probleme mit AV-Programmen

21 Jan 2019, 10:00

Danke, nnnik, für deine "aufbauende" Info.

Für den AHK-Interpreter selbst z.B. wäre eine Zertifizierung kein (zumindest theoretisch) gangbarer Weg? Du deutest an, das sei etwas, was du dir nicht antun willst -- wie meinst du das; bist du mit dabei bei der Entwicklung neuer Releases? Wenn der Interpreter mit einem Zertifikat versehen wäre, würde man dann zumindest bei unkompilierten Skripts, also wenn man einen Skript mit dem Interpreter laufen lässt, frei von AV-Belästigungen sein?

Bis dann.
For me as a newbie it is frustrating to fail due to "little" problems in projects in which the entire concept and even complex functions are working perfectly...
gregster
Posts: 3408
Joined: 30 Sep 2013, 06:48

Re: Probleme mit AV-Programmen

21 Jan 2019, 10:04

Während AHK schon lange misstrauisch von AV-Programmen betrachtet wurde (entweder pauschal, aufgrund Verwendung bestimmter Packer oder auf heuristischer Basis) scheint erschwerend hinzuzukommen, dass es letztes Jahr offenbar ein erhöhtes Aufkommen an AHK-basierter Malware gab. Dieser Trend hat wahrscheinlich nicht geholfen. Optimisten mögen einwenden, dass dies helfen könnte, dass AV-Anbieter ihre AHK-Heuristiken nun verbessern. Bislang bin ich allerdings skeptisch.
Siehe z. B.
https://www.bleepingcomputer.com/news/security/autohotkey-malware-is-now-a-thing/
https://www.cybereason.com/blog/fauxpersky-credstealer-malware-autohotkey-kaspersky-antivirus
https://www.ixiacom.com/company/blog/living-land%E2%80%94malware-21st-century

Das ging soweit, dass letztes oder vorletztes Jahr ein damals relativ neues und inzwischen gelöschtes, aber offenbar nicht besonders programmiererfahrenes Forumsmitglied versuchte, durch eine lange Reihe von spezifischen Einzelfragen, sich einen (sich selbst verbergenden) Cryptominer (aka Malware) zusammenzubasteln. Ob das Unternehmen in diesem Fall von Erfolg gekrönt worden wäre, bin ich nicht sicher, aber als ich ihn auf meinen Verdacht ansprach, gab er es direkt zu - nach dem Motto: was soll's, machen doch heutzutage alle!
Aber, dass es solche Malware nichtsdestotrotz 'in the wild' gibt, sah man bspw. hier: https://www.autohotkey.com/boards/viewtopic.php?t=49724
Zvonko
Posts: 210
Joined: 19 Jun 2015, 11:52

Re: Probleme mit AV-Programmen

21 Jan 2019, 10:19

Danke, gregster, sehr interessant, was du da berichtest.

Aber, ist denn AHK wirklich potentiell gefährlicher als irgendein sonstiges bzw. gängiges "Programmierwerkzeug", irgendeine "richtige" Programmiersprache? Wenn in einer solchen Programmiersprache ein Hotkey programmiert wird, hat dann auch dieses Programm gleich AV-Probleme?
For me as a newbie it is frustrating to fail due to "little" problems in projects in which the entire concept and even complex functions are working perfectly...
User avatar
nnnik
Posts: 4329
Joined: 30 Sep 2013, 01:01
Location: Germany

Re: Probleme mit AV-Programmen

21 Jan 2019, 10:44

Ja normalerweise schon - wenn du die selben Techniken wie AHK benutzt kann es sein, dass du sehr schnell Probleme bekommst.
lexikos ist der Hauptentwickler von AHK.
Ich habe versucht beim AutoHotkey Quellcode mitzuarbeiten, aber lexikos macht das nicht einfach, so dass ich es wieder sein gelassen hab.
Ich kann mir nicht so sicher, dass wir lexikos übereden können ein Zertifikat für AHK zu erstellen. Wir müssten ihm das schon auf dem Silbertablett servieren.
Ich habe aber nicht die Motivation das zu tun - vor allem da lexikos nun schon mal wieder seit einigen Monaten verschwunden ist.
Recommends AHK Studio
gregster
Posts: 3408
Joined: 30 Sep 2013, 06:48

Re: Probleme mit AV-Programmen

21 Jan 2019, 10:56

Tja, die genauen Vorgänge in den AV-Firmen erschließen sich mir nicht. Ob es mit bestimmten Codemerkmalen im AHK-Interpreter (der ja auch in einer AHK-exe immer mit dabei ist), fehlenden Zertifikaten, zu geringer Verbreitung von AHK und/oder fehlender PR zu tun hat, ich weiß es nicht. Vielleicht spielt da auch inzwischen eine Rolle, dass AHK inzwischen schon eine ziemlich lange Akte (10+ Jahre) bei den AV-Herstellern hat, ob zurecht oder nicht. Ich befürchte nämlich, dass die Anzahl der User, die 'false positives' bei den Firmen zum Review einreichen, eher gering ist und damit viele falsche Erkennungen nicht aufgeklärt werden und weiterhin in den entsprechenden Datenbanken herumdümpeln. Damit ist AHK wahrscheinlich als risikobehaftetes Tool gebrandmarkt.

Aber wenn man im Netz sucht, findet man hier und da non-AHK-Programmierer, die bei neuen Versionen ihrer Software regelmäßig zur Verzweiflung getrieben werden: Rick Strahl äußert sich bspw hier über seine Erkenntnisse bzgl. der Ursachen und geht auch auf Zertifikate ein: https://weblog.west-wind.com/posts/2016/Oct/05/Dealing-with-AntiVirus-False-Positives
Der Programmierer der zugegebenermaßen sehr mächtigen Nirsoft Tools hat sich auch mal (vor langer Zeit) geäußert und damals bereits AHK als Leidensgenosse benannt: http://blog.nirsoft.net/2009/05/17/antivirus-companies-cause-a-big-headache-to-small-developers/ Aber ich glaube da hat sich auch in 10 Jahren nicht viel verbessert für ihn. Diese Tools sind mir jedenfalls schon regelmäßig von AV-Programmen gelöscht wurden (während ich mit AHK wenig Probleme hatte).
Last edited by gregster on 21 Jan 2019, 11:00, edited 1 time in total.
Zvonko
Posts: 210
Joined: 19 Jun 2015, 11:52

Re: Probleme mit AV-Programmen

21 Jan 2019, 10:58

nnnik, danke ... was man da alles so nebenbei erfährt über unser wunderbares AHK! (Es ist aber auch ein wunderbares Ding, dieses AHK, oder!?)

Was aber die bisherige Diskussion auch noch zeigt: Schon ein kleines bisschen Brainstorming bringt gleich neue Perspektiven ...

OK, du sagtest dann aber auch nebenbei einschränkend, man müsste am Ende auch noch sicherstellen, dass eine "Signatur einer AV Detektion vorbeugt". Das wäre aber bei AHK schon auch machbar, oder? Wären also theoretisch auf diesem Weg so gut wie alle AV-Probleme beseitigbar?

Bis dann.

PS: gregster, auch wieder viel Interessantes von dir, danke! (Möge dieses Brainstorming weiterhin so produktiv bleiben!)
For me as a newbie it is frustrating to fail due to "little" problems in projects in which the entire concept and even complex functions are working perfectly...
User avatar
Gerdi
Posts: 155
Joined: 03 Aug 2015, 18:48
GitHub: grrdi
Location: Germany

Re: Probleme mit AV-Programmen

21 Jan 2019, 18:47

Ich habe eigentlich keine Probleme mit Vieren-Programmen, weder beruflich noch privat. Ich verwende allerdings keine kompilierten Skripte, sondern bei Weitergabe die gleichnamig wie das Skript umbenannte Autohotkey.exe. Aber als ich kürzlich versehentlich mi der Maus statt edit Skript drüber compile Skript erwischte. Habe ich gedacht jetzt teste ich auch mal ob sich die kombilierte Version starten lässt. Daraufhin meldete sich Free-AV mit einem potentiellen Gefahrenhinwweis. Hat dann aber nichts näheres gefunden. Lange Rede kurzer Sinn: Eventuell bringt es schon etwas nicht zu kompilieren!
Win 10 Home (x64) or Win 7 Enterprise
https://github.com/Grrdi/ZackZackOrdner ... master.zip --> get folders on the quick
Ahk_fan
Posts: 78
Joined: 31 Aug 2018, 14:34

Re: Probleme mit AV-Programmen

22 Jan 2019, 16:29

miene Erfahrungen:
geschäftlich:
McAfee reagiert nach Gruppenrichtlinieneinstellung auf AutohotkeyU32.exe+AutohotkeyU64.exe gut seit die Richtlinien angepasst wurden, d.h. keine Meldung
--> ABER wenn ein Script compiliert wird UND mit MPRESS komprimiert wird, sieht es nicht so gut aus --> deswegen lass ich MPRESS seit ca. 1 Jahr weg, dann keine Probleme bis jetzt

privat:
ESET --> reagiert oft und löscht ungefragt die EXE. Die mit MPRESS immer, die OHNE MPRESS nur mit nachfrage
MS Defender --> Meckert seit 1 Monat immer über compilierte Datein mit MPRESS komprimiert, seit 2-3 Tagen auch wegen nicht komprimierten :-(
regards,
AHK_fan :)
Zvonko
Posts: 210
Joined: 19 Jun 2015, 11:52

Re: Probleme mit AV-Programmen

23 Jan 2019, 05:16

Thanks, Ahk_Fan!

Dein Bericht bestätigt auch, wie launenhaft die AV-Programme sein können. Mich bringt insbesondere Windows Defender laufend zur Verzweiflung.

Ärgerlich ist, dass man sich eigentlich auf nichts verlassen und einstellen kann, weil es mal bei einem selber keine Probleme gibt, bei jemanden anderen aber doch, und plötzlich ändert sich was und AV-Programme machen bei beiden Probleme, oder nur bei mir, oder doch mal bei beiden nicht.

OK, was fällt uns noch ein? Ich würde mich freuen, wenn nnnik noch die Frage zu dem Zertifikat für AHK beantworten könnte: "... man müsste am Ende auch noch sicherstellen, dass eine "Signatur einer AV Detektion vorbeugt". Das wäre aber bei AHK schon auch machbar, oder? Wären also theoretisch auf diesem Weg so gut wie alle AV-Probleme beseitigbar?"

Bis dann.
For me as a newbie it is frustrating to fail due to "little" problems in projects in which the entire concept and even complex functions are working perfectly...
User avatar
nnnik
Posts: 4329
Joined: 30 Sep 2013, 01:01
Location: Germany

Re: Probleme mit AV-Programmen

23 Jan 2019, 05:24

AHK selber wäre dann einer Detektion bei der Installation und beim ausführen von unkompilierten Skripten möglich.
Da AHK selber selten Probleme mit False-Positives hat wenn es nicht kompiliert ist sehe ich da nicht viel Sinn.
AHK kann dieses Zertifikat dann nicht automatisch auf kompilierte Programme anwenden - dafür bräuchte man ein neues Zertifikat da sich die Signatur der Datei verändert.

An sich ist ein Zertifikat ein guter Weg die meisten Antivirenprogramme davon abzuhalten dein Programm als Schadsoftware zu erkennen.
Es gibt allerdings auch Schwarze Schafe unter den Antiviren Programmen.
Recommends AHK Studio
Zvonko
Posts: 210
Joined: 19 Jun 2015, 11:52

Re: Probleme mit AV-Programmen

23 Jan 2019, 05:32

Verstehe.

Kann von anderen hier bestätigt werden, dass "AHK selber [der Interpreter] selten Probleme hat mit False-Positives wenn es nicht komprimiert ist"? (Ahk_fan hat in Bezug auf McAfee angedeutet, dass es seit ... keine Meldungen mehr gibt; davor also schon ...) Wie wäre die allgemeine Erfahrung mit komprimiertem Interpreter?

Bis dann!
For me as a newbie it is frustrating to fail due to "little" problems in projects in which the entire concept and even complex functions are working perfectly...

Return to “Ich brauche Hilfe”

Who is online

Users browsing this forum: No registered users and 19 guests