帮忙分析这个文件怎么修改防止杀毒软件误报,在线等

暗_黑

温馨小屋 发表于 2020-3-4 10:07
实机双击记得吧这里的exe删掉，这个毒会自我复制的

看你上面的沙箱分析结果，实机岂不是要凉

温馨小屋

暗_黑 发表于 2020-3-4 10:15
看你上面的沙箱分析结果，实机岂不是要凉

是的，所以实机不要随便点东西，说不定你正在输入的文字已经被他们公司截取去了

a233

小a报广告

jackie_john

感谢 温馨小屋,我们之前设计这个软件主要是辅助我们的用户插入usb使用的,病毒安全方面考虑的很少.
@温馨小屋,你之前提到那个检测报告,我也愁着这个检测报告呢,但是除了那个红体字的开机启动我们确实存在外,其他的获取按键，读host之类的行为我们真没有,不知道他们怎么检测出来的? 难道是visual studio c++编译器加进去的?
另外那个文件复制行为我们确实有,我也打算去掉我们的文件复制试试.,但是那个MyHome.exe我们确实没有复制,不知这个怎么来的?
再次感谢温馨小屋

暗_黑

温馨小屋 发表于 2020-3-4 10:26
是的，所以实机不要随便点东西，说不定你正在输入的文字已经被他们公司截取去了

我用火绒剑把exe删了，temp下的临时文件我没找到

暗_黑

jackie_john 发表于 2020-3-4 10:27
感谢 温馨小屋,我们之前设计这个软件主要是辅助我们的用户插入usb使用的,病毒安全方面考虑的很少.
@温馨小 ...

你们公司自己制作的？

温馨小屋

jackie_john 发表于 2020-3-4 10:27
感谢 温馨小屋,我们之前设计这个软件主要是辅助我们的用户插入usb使用的,病毒安全方面考虑的很少.
@温馨小 ...

我看VT上这个文件的原始文件名叫myhome，可能有些代码没删干净，沙箱肯定不会瞎检测，排查一下用没用外部类库或者一些网上扒的代码，你们网上抄代码病毒作者也会去抄，到最后就会撞车，有些API虽然编写目的不是用来截取按键的但是可能被误用的那种API也可以排查一下，编译器不行可以换一种或者改变一下编译命令，一般应该不是编译器的问题，像诺顿那样HelloWorld都杀的厂商无视就行了。软件那个连接网络的行为可能导致读hosts，不行就换个库，其实C++原生实现检测那个xml页面应该也不成问题。软件可以加个提示提醒一下用户它在运行，也可以在控制面板加个卸载项，要是用户不知道还删不掉那不就真成了间谍软件了

jackie_john

暗_黑 发表于 2020-3-4 10:28
你们公司自己制作的？

是的,这个exe只有插入我们的usb后,驱动会自动下载并执行这个nda.exe,一般用户是没有机会拿到这个nda.exe的

暗_黑

jackie_john 发表于 2020-3-4 10:38
是的,这个exe只有插入我们的usb后,驱动会自动下载并执行这个nda.exe,一般用户是没有机会拿到这个nda.exe ...

那怎么办，我实机双击了，你要负责

jackie_john

温馨小屋 发表于 2020-3-4 10:37
我看VT上这个文件的原始文件名叫myhome，可能有些代码没删干净，沙箱肯定不会瞎检测，排查一下用没用外部 ...

非常感谢,
我打算先去掉开机启动,去掉exe复制,还有程序打开就显示界面这些方面试试,
至于你说的换库还有改变编译命令,我还感觉比较复杂,前者不行的话再试