為什麼這篇TrojanWin32 是什麼鄉民發文收入到精華區:因為在TrojanWin32 是什麼這個討論話題中,有許多相關的文章在討論,這篇最有參考價值!作者i78524 (Shulei)看板AntiVirus標題[問題] 程式被誤判為病毒?用C++與Q...
※ [本文轉錄自 C_and_CPP 看板 #1KmCosb1 ]
作者: i78524 (Shulei) 看板: C_and_CPP
標題: [問題] 程式被誤判為病毒?用C++與Qt編寫
時間: Thu Jan 22 18:10:59 2015
開發平台(Platform): (Ex: VC++, GCC, Linux, ...)
Qt creater 3.2.2
額外使用到的函數庫(Library Used): (Ex: OpenGL, ...)
Qt
問題(Question):
各位版友好
小弟寫了個程式與網友們分享
下載連結是:http://ppt.cc/~y7l
不過有幾位網友跟小弟反映說有毒
目前有兩種情況:
(1). google 硬碟不給抓,說這個rar有毒
不過把瀏覽器關掉重開之後就可抓了不會報有毒
(目前遇到三個不同人的相同案例 ptt版友+親友*2)
(2). 被win8的 windows smartscreen檔掉 (ptt版友*1)
●針對此問題,我做了以下測試
拿了之前分享到網路上的檔案,使用virustotal與metascan-online去測試
測試一:只拿release資料夾的.exe檔,不考慮dll
(1). 拿去virustotal網站測試l:防毒Bkav 偵測有 HW32.Packed.253C
(2). 拿去metascan-online測試:防毒ByteHero 偵測有 Trojan.Win32.Heur.Gen
測試二:exe檔連同dll放到同一個資料夾,用rar包起來(結果與測試一相同)
(1). 拿去virustotal網站測試l:防毒Bkav 偵測有 HW32.Packed.253C
(2). 拿去metascan-online測試:防毒ByteHero 偵測有 Trojan.Win32.Heur.Gen
測試三:使用emigma virtualbox將可執行檔與dll包成單一.exe
最後再用rar打包(這是我會拿給一般使用者的最終樣式)
(1). 拿去virustotal網站測試:防毒F-Prot 偵測有 W32/S-a54b5573!Eldorado
這是最後測試果清單:http://ppt.cc/tWFD
(2). 拿去metascan-online測試:全部測試通過
這是最後測試果清單:http://ppt.cc/gDC9
目前沒有看到大廠牌的防毒說我的程式有毒,這是目前比較心安的!
( Bkav是越南的防毒軟體,ByteHero百锐是中國的防毒軟體,F-Prot不太認識 )
●已經做的掙扎:
使用 另一台 前天剛重慣win7 的乾淨電腦,安裝Qt Creater重新release一次程式
再重新使用virustotal與metascan-online網站檢測一次
結果是完全相同!(有將檔名以及內容換掉,讓掃毒網站另外重新上傳新檔案測試)
●結論與求救:
由於這是在已經重灌過後的乾淨電腦重新編譯過後的結果
因此,我十分相信我的程式是被防毒軟體誤判的
(偵測率是1 / 53左右,也就是53個防毒軟體僅有一個認為他有毒)
雖然有毒似乎是個案,不過心中還是蠻不安的...
畢竟寫程式是想要給大家開開心心用,如果真的讓人中毒了話我要負很大的責任
想請教版上高手,是否有遇到這種情況,請問該如何解決?
我是不是在寫程式的過程中哪裡沒注意到,讓軟體將我誤判成病毒?
經過這樣的測試真的可以宣告我的程式無毒嗎?
如果您覺得這篇發問有更適合的版,請您告訴我,謝謝您。
也感謝您看到最後。
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 122.121.235.207
※ 文章網址: https://www.ptt.cc/bbs/C_and_CPP/M.1421921462.A.941.html
※ 編輯: i78524 (122.121.235.207), 01/22/2015 18:13:21
→ EdisonX: 出門左轉, AntiVirus ,謝謝。 01/22 19:24
推 fireslayer: 自己寫的程式 沒有sign過很容易被誤判啦 正常現象 01/22 20:11
推 ZanFu5566: 正常現象=-= 01/22 21:39
※ 發信站: 批踢踢實業坊(ptt.cc)
※ 轉錄者: i78524 (122.121.235.207), 01/22/2015 23:33:46
→ i78524: 我是原po,雖然很怕聽到壞消息 01/22 23:37
→ i78524: 但還是來聽聽貴版版友專業意見,謝謝各位! 01/22 23:37
→ TobyH4cker: 你自己寫的,阿就誤判啊,大概是Qt的Library片段被拿 01/23 03:30
→ TobyH4cker: 去當病毒特徵碼了 01/23 03:31
→ TobyH4cker: 你都已經附原始碼了,叫那些擔心的人要嘛自己編譯要嘛 01/23 03:32
→ TobyH4cker: 不要用 01/23 03:33
→ TobyH4cker: 1/53 你幹嘛擔心成這樣 01/23 03:37
→ a7718tw: 對阿 自己寫的程式有沒有問題應該很清楚吧XDDD 01/23 10:43
→ a7718tw: 難道是還必須說服親友嗎XDDD 如果是的話真的無法度 01/23 10:43
→ a7718tw: 如果是真的真的很重要的程式 你可以送給防毒公司判斷看看 01/23 10:44
→ a7718tw: 但耗時較久摟~!可向各家防毒公司詢問方式~~ 01/23 10:44
→ i78524: 我是原po,看來我是庸人自擾了,感謝樓上兩位的回應! 01/23 12:09
推 a7718tw: 不客氣 應該是說 你詢問的原因是怕自己寫出病毒嗎? 01/23 12:18
→ a7718tw: 還是是因為要用的人會擔心? 如果是後者 就報給防毒公司摟 01/23 12:18
→ y3k: 把你報毒的都是幾乎名不見經傳的防毒軟體 我是覺得沒差 有可 01/23 12:26
→ y3k: 能是沒帶簽章或qt加的殼他們不認識吧 有沒有害src都在你手上 01/23 12:27
→ y3k: 了阿XDD 01/23 12:27
→ hihieveryone: 說不定是你引用的某個東西有問題 01/23 15:20
→ hihieveryone: 很多open ssl不也都開放給大家看 01/23 15:21
→ hihieveryone: 結果多半的人也沒能力檢查那code的問題在哪 01/23 15:22
→ hihieveryone: 還以為加上SSL就很安全結果是特別危險 01/23 15:22
推 timshan: 這麼行何不直接看src點出是哪個地方有問題? 01/23 15:36
→ hihieveryone: 那你要看你引用的module和module引用的 01/23 15:42
→ hihieveryone: 你看那些hitcon的影片 01/23 15:44
→ hihieveryone: 他只竄改了SQLlib其中的2%你要去看談何容易 01/23 15:45
→ hihieveryone: 況且你怎麼知道他用的是哪種方法 01/23 15:45
→ hihieveryone: 夾帶指向網址通常比較容易發現 01/23 15:46
→ hihieveryone: 可是其他的呢? 01/23 15:46
→ hihieveryone: 這些都是曾經發生過的案例有興趣可以google一下 01/23 15:49
→ hihieveryone: 光是讀別人寫的code就要讀到眼睛脫窗了 01/23 15:49
→ hihieveryone: 還要讀到懂到能改寫又是另一個境界 01/23 15:51
→ hihieveryone: 就是自己搞不定才來發問的 01/23 15:52
→ y3k: 如果是引用有問題 不太可能只有這種小隻的會叫吧 01/23 16:22
→ hihieveryone: 那如果是組合問題呢? 01/23 18:31
→ y3k: 比如說? 01/23 20:46
→ hihieveryone: 他的寫法剛好符合了病毒特徵 01/23 20:57
→ y3k: ... 01/23 22:00
推 junorn: 好久以前在寫efix的時候只要是有用for語法去掃描c到z那些 01/24 19:46
→ junorn: 有實體磁碟在的話某些防毒就會報毒,要用一些方式繞過才沒 01/24 19:46
→ junorn: 問題這樣...會誤判很正常的 01/24 19:46
推 junorn: ...讓我想到好久以前為了要躲一些病毒偵測和防毒偵測搞的 01/24 19:53
→ junorn: 像是在寫病毒一樣的一直繞圈圈,兩行就可以搞定的動作寫了 01/24 19:53
→ junorn: 幾十行這樣orz 不過還蠻有趣的就是 01/24 19:53
→ hihieveryone: 同理病毒要繞著寫一樣可以繞過防毒 01/25 16:49
→ y3k: 樓上你為什麼要一直用部分涵蓋全部呢? 這時候不就可以判斷出 01/25 17:18
→ y3k: 防毒軟體的偵測和防誤判能力高低 你是以為全部防毒都是同個廠 01/25 17:18
→ y3k: 商寫的 或是運作原理大同小異嗎 01/25 17:19
→ hihieveryone: 你的防禦網只要被某隻病毒繞過基本上就有可能瓦解 01/25 19:04
→ y3k: 你要用這件事情判斷防毒軟體的不必要嗎? 01/25 19:58
→ y3k: 不要說"等你遇到就知道了"這種戒慎恐懼的沒營養的話 我只想問 01/25 20:13
→ y3k: 你認為一般使用者依靠防毒軟體有什麼不對的地方 01/25 20:14
→ hihieveryone: 那就自求多福吧 01/25 20:39
→ y3k: 那就好 你現在可以考慮去買個卡巴掃看看電腦有多少毒? 01/25 21:54
→ hihieveryone: 你不要用你在板上那套拿來跟我說懂嗎 01/25 23:37
推 junorn: 這年頭PTT風氣變那麼多啊..? 好久沒上來看感覺差好多~ 01/26 00:52
→ hihieveryone: 業代太多 01/26 01:00
→ y3k: 業代...= = 我超推免費的COMODO+小紅傘組合喔 01/26 06:45
→ y3k: 我也很想討論實際點的東西 而不是那種想都知道的超級病毒存在 01/26 06:48
→ y3k: 與否問題 這陣子一直都是很想搞清楚某版友到底是做了甚麼豐功 01/26 06:49
→ y3k: 偉業或有什麼好東西可以讓他自滿成這樣 結果都碼只是拿別人的 01/26 06:52
→ y3k: 做法和資訊來提 連最基本的寫程式寫病毒的原理就是要重複執行 01/26 06:54
→ y3k: 某個動作的概念都沒有就一直提駭客和病毒是不一樣的這種話 01/26 06:54
→ y3k: 我個人是針對這些邏輯上的疑惑在討論而已 別當成意氣之爭orz 01/26 06:56
→ y3k: 另外我推薦你卡巴是因為我覺得你可能用不起Comodo+紅傘阿= = 01/26 07:22
→ y3k: 另外真的不要鼠目寸光當看到重點 這樣只會讓人覺得你是來亂的 01/26 07:36