Я создал эту программу резервного копирования больше года назад. Раньше она никогда не определялась как угроза. Сегодня утром, когда она попыталась сделать то, что всегда делает, Защитник Windows поместил ее в карантин, назвав ее серьезной угрозой "Trojan:Win32/Bearfoos.A!ml"
Он использует две DLL, которые я написал сам, одна из них выполняет рекурсивный поиск, а другая читает/записывает файлы. По сути, мой .exe считывает свой файл конфигурации, перезаписывает его, если возникает проблема, затем использует загруженную информацию для запуска рекурсивного поиска, а затем копирует/сжимает (используя 7za.exe) эти файлы на несколько дисков.
Он также вызывает kernel32 (GetConsoleWindow) и user32.dll (ShowWindow), поскольку это консольное приложение.
Я уверен, что могу добавить его в исключения, есть другая ветка об Avast об очень похожей вещи, которая предлагала это. Мне просто интересно, почему? Почему сейчас? Почему Bearfoos? Почему Защитник Windows не может обнаружить, что я сам написал эту программу? Почему Защитник Windows не может понять, что он просто копирует файлы по моим собственным локальным дискам? Я даже сам добавил его в Планировщик заданий Windows, насколько больше зеленого флага нужно Защитнику Windows!?
Я полагаю, что большинство программ именно так и поступают: копируют и читают файлы.
решение1
Я бы выбрал комментарий Ramhound в качестве ответа: «Вам необходимо сообщить о ложном срабатывании в Microsoft. Если вы не сообщите о ложном срабатывании, Защитник Windows продолжит определять его как вредоносное».
Я отправил файл в Microsoft вчера, и они ответили сегодня. Они удалили обнаружение и дали мне шаги по очистке старых определений и обновлению до новых.
Спасибо всем за ваш вклад, даже тем, кто получил отрицательные оценки. Вот страница, которая помогла мне понять, почему моя программа была обнаружена как потенциально вредоносное ПО. https://docs.microsoft.com/en-us/windows/security/threat-protection/intelligence/criteria
решение2
Если вы на 100% уверены в безопасности, добавьте его в исключения Защитника Windows.
решение3
Почему это начало происходить сейчас? Вероятно, недавнее обновление Windows Defender заставило его изменить свое поведение в отношении вашей программы. Обнаружение вредоносного ПО сложно, и этот процесс не надежен на 100%. Ошибки случаются. Иногда вредоносное ПО не обнаруживается, а иногда легитимное ПО ошибочно идентифицируется как вредоносное.
Windows Defender не пытается определить, написали ли вы программу, и таким образом предоставить ей особые привилегии. Это была бы действительно плохая идея. Программисты не доверяют своей способности делать это с достаточной надежностью. Если бы была такая возможность, это дало бы вредоносному ПО еще один потенциальный способ избежать обнаружения. Windows Defender не имеет такого общего представления о программе, как вы. Он может только проверять свои файлы на наличие шаблонов известных вредоносных программ и отслеживать их активность. И он делает все это, зная, что все может быть не так, как кажется. Современные вредоносные программы очень сложны и имеют множество трюков, поэтому они будут выглядеть не так, как есть. Вредоносные программы постоянно совершенствуют свои методы, чтобы избежать обнаружения, и программное обеспечение безопасности должно совершенствовать свои методы обнаружения.
Большинство программ безопасности имеют своего рода список исключений. Но даже это не так просто, как кажется. Им нужно очень осторожно управлять, иначе вредоносное ПО просто добавит себя в список. Авторы вредоносных программ изучают Windows Defender и другие продукты безопасности, всегда ища какую-нибудь уязвимость, которую они могли бы использовать.