Warum Keygen oder Cracks als Viren / Virus erkannt werden?!

Gerne hätte ich jetzt die Begründung hier mal gepostet, allerdings weiß ich es selbst nicht und fand auch nach 15minütiger Suche nicht die keywörter, welche zur Antwort führen.

Ich laß schon oft, das es tausend mal in div. Themen durchgekaut wurde... aber davon selbst gefunden hab ich nichts.
Also die Frage: Warum werden von den Uploadern die Keygens Cracks etc. öfter mal als Virus erkannt, obwohl es keine Virenverseuchte Dateien sind ?

Tja, weil diese in der Registry "rumfummeln" und kleine ausführbare Scripte enthalten...
Wie Trojaner etc...auch..
Das kommt den Antivirenprogramme dann nicht ganz "koscher" vor und sie gilt mehr oder weniger verdächtig.

Datei bei Virustotal.com hochladen. Im Zweifelsfall Verhaltensbasiertes Programm benutzen (zb. Internetsecurity (Kaspersky) oder z.B. Threatfire...etc...

Eine Beobachtung in einer Sandbox hilft auch...

btw... hast du überhaupt die SuFu bequemt mit deiner Frage..?

Nein, vermutlich nicht. Macht doch eh keiner.

Du müsstest mir aber mal erklären, warum ein normales Setup einer x-beliebigen Software nicht als Virus oder Trojaner erkannt wird.
Aha... und andere Installationsroutinen tun das nicht? Und welcher Crack sollte aus welchen Gründen in der Registry "rumfummeln"?
Üblicherweise werden Cracks bei Programmen doch dazu benutzt, weil sie verschiedene Funktionen nicht mehr enthalten. Beispielsweise CD-Abfragen oder ähnliches.
Ebenso Keygens... Wieso sollten die in der Registry "rumfummeln"? Mit Keygeneratoren wird üblicherweise ein gültiger Schlüsselcode zur Registrierung berechnet.
Da muss nichts an der Registry geschraubt werden und irgend welche Dateien verändert werden erst recht nicht.

Bleibt die Frage:
Wer sagt das? Nur weil ich dir sage, das ist kein Virus, ist es auch keiner? Dann spring doch bitte mal von einem Hochhaus. Du wirst nicht unten aufschlagen und sterben, sondern butterweich landen. Warum? Weil ich das sage...

Es gibt kaum eine logische Begründung dafür, dass ein Programm als Virus erkannt wird und es nicht ist.
Es gibt allerdings zwei Ausnahmebestände, die einen False Positive auslösen können.
1. Es wird per Signatur überprüft und das Programm enthält teilweise Zeichenfolgen im Code, die der Signatur stark ähneln oder damit übereinstimmen.
2. Über statische Analyse werden die Programmfunktionen auf Gefährlichkeit hin untersucht und mittels heuristischer Analyse eingestuft.
Siehe bspw. hier.

Dabei kann eine Funktion natürlich "gefährlich" aber trotzdem erwünscht sein.
Manche Spiele werden z.B. als Keylogger identifiziert, weil sie Tastatureingaben abfangen. Müssen sie aber logischerweise auch, weil man sonst nicht spielen könnte. Also dürfte es sich dabei dann um ein False Positive handeln.

Im Zweifel gilt dann halt. Finger weg und eine "virenfreie" Version besorgen.
Und falls man einen Crack, Keygen etc. doch unbedingt ausprobieren will, dann möglichst in einer virtuellen Umgebung, wo das Teil keinen Schaden anrichten kann. Oder aber wenigstens mit möglichst eingeschränkten Rechten (Stichwort: Administrator-Rechte und Windoof-User).

Ich habe wirklich die SuFu benutzt, allerdings erfolglos, oder Talentfrei ;(

Das mit der Signatur kann ich bestätigen. Die Antiviren Programme brauchen eine Information mit der sie ein Programm als Virus oder sonstiges einstufen können.
Diese Information ist oftmals die Signatur. Oft ähnelt diese stark einem bereits bekanntem und aufgespürtem Virus oder es wird in vielen fällen auch ein Crypter benutzt. Aus welchem Grund auch immer man einen Keygen crypten sollte.
Dabei versieht der Crypter auch hier wieder die Datei mit einer Signatur, logischerweise ist man nicht allein mit dem Crypter, sondern dieser wird auch bei anderen Programmen zum Einsatz gebracht. Vorallem bei Viren, da man diese ja als Entwickler möglichst lange undetectable machen will.
Da diese Signatur oftmals dann an Viren gefunden werden ist es nicht verwundlich wenn ein Keygen oder ähnliches auf mit diesem Crypter gecryptet wurde und eben eine ähnliche oder gleiche Signatur enthält.
Ich selbst kenne aber auch aus eigener Erfahrung:
Man schreibt ein normales Programm und ist grad am Compilen und auf einmal popt ein AV Fenster auf mit der Meldung ein Virus befände sich am angegeben Pfad, oftmals liegt das da dran das bestimmet Funktionen in gewisser Abfolge deren eines Virus gleichen oder ein Algo ein bestimmtes Muster ergibt das eben auch bei einem bekannten Virus vorhanden ist.

Aber darüber gibt es viele Erklärungen, Theorien und Mutmaßungen