이 백업 프로그램을 만든 지 1년이 넘었습니다. 이전에는 위협으로 감지된 적이 없었습니다. 오늘 아침 항상 하던 일을 하려고 했을 때 Windows Defender는 이를 심각한 위협인 "Trojan:Win32/Bearfoos.A!ml"이라고 부르며 격리했습니다.
이는 내가 직접 작성한 두 개의 DLL을 사용합니다. 그 중 하나는 재귀 검색을 수행하고 다른 하나는 파일 읽기/쓰기를 수행합니다. 기본적으로 내 .exe는 구성 파일을 읽고 문제가 발생하면 덮어쓴 다음 로드된 정보를 사용하여 재귀 검색을 시작한 다음 해당 파일을 여러 드라이브에 복사/압축합니다(7za.exe 사용).
또한 콘솔 앱이므로 kernel32(GetConsoleWindow) 및 user32.dll(ShowWindow)을 Pinvoking합니다.
예외에 추가할 수 있다고 확신합니다. 이를 제안한 매우 유사한 내용에 대한 Avast에 대한 또 다른 스레드가 있습니다. 왜 그럴까요? 왜 지금? 왜 베어포스인가? 내가 해당 프로그램을 직접 작성했다는 사실을 Windows Defender가 감지하지 못하는 이유는 무엇입니까? Windows Defender가 내 로컬 드라이브 주변에 파일을 복사하고 있다는 사실을 인식하지 못하는 이유는 무엇입니까? Windows 작업 스케줄러에 직접 추가하기도 했습니다. Windows Defender에는 얼마나 더 많은 녹색 플래그가 필요합니까?
대부분의 프로그램이 파일을 복사하고 읽는 일을 한다고 생각합니다.
답변1
저는 Ramhound의 의견을 답변으로 선택하겠습니다. "오탐지를 Microsoft에 보고해야 합니다. 오탐지를 보고하지 않으면 Windows Defender는 계속해서 이를 악성으로 감지합니다."
어제 Microsoft에 파일을 제출했는데 오늘 응답이 왔습니다. 그들은 탐지를 제거하고 이전 정의를 제거하고 새 정의로 업데이트하는 단계를 제공했습니다.
의견을 보내주신 모든 분들께 감사드립니다. 반대표를 받은 분들도 마찬가지입니다. 다음은 내 프로그램이 잠재적인 맬웨어로 감지된 이유를 이해하는 데 도움이 되는 페이지입니다. https://docs.microsoft.com/en-us/windows/security/threat-protection/intelligence/criteria
답변2
100% 안전하다고 확신하는 경우 Windows Defender에 제외 항목으로 추가하세요.
답변3
왜 이제 이런 일이 일어나기 시작했는가? 최근 Windows Defender 업데이트로 인해 프로그램 동작이 변경되었을 수 있습니다. 악성 소프트웨어 탐지가 어렵고 프로세스가 100% 신뢰할 수 없습니다. 실수가 발생합니다. 악성 소프트웨어가 감지되지 않는 경우도 있고, 합법적인 소프트웨어가 악성 소프트웨어로 잘못 식별되는 경우도 있습니다.
Windows Defender는 사용자가 프로그램을 작성했는지 확인하여 특별한 권한을 부여하지 않습니다. 그건 정말 나쁜 생각이겠죠. 프로그래머는 충분한 신뢰성을 가지고 이 작업을 수행할 수 있는 능력을 신뢰하지 않습니다. 그러한 시설이 있다면 악성 코드가 탐지를 회피할 수 있는 또 다른 잠재적인 방법을 제공할 것입니다. Windows Defender는 사용자가 수행하는 프로그램에 대한 큰 그림을 이해하지 못합니다. 파일에서 알려진 맬웨어 패턴을 확인하고 활동을 모니터링할 수만 있습니다. 그리고 사물이 보이는 것과 다를 수도 있다는 지식을 바탕으로 이 모든 일을 수행합니다. 최신 악성 코드는 매우 정교하고 많은 트릭을 갖고 있어 실제와 다른 모습으로 나타납니다. 맬웨어는 탐지를 회피하기 위한 방법을 지속적으로 개선하고 있으며 보안 소프트웨어는 탐지 방법을 개선해야 합니다.
대부분의 보안 소프트웨어에는 일종의 제외 목록이 있습니다. 그러나 이마저도 보이는 것만큼 간단하지 않습니다. 매우 신중하게 관리해야 합니다. 그렇지 않으면 악성 소프트웨어가 목록에 추가될 것입니다. 맬웨어 작성자는 Windows Defender 및 기타 보안 제품을 연구하면서 항상 악용할 수 있는 약점을 찾습니다.