本帖最后由 YYT2013 于 2026-2-27 13:30 编辑
这个杀毒软件的链接:https://yezianquanzhongxin.pages.dev这个作者的b站号@叶子官方
这个ui,满满的Ai味。
下载的时候fsp直接
首先使用EXEinfo查看:
是个安装包那就安装吧
这里三个文件
前两个没什么异常就不看了
第三个就不运行了,使用EXEinfo查看
连壳都没加?上工具!
首先使用pyinstxtractor.py解包
接下来确认下pyc文件,在解包后的一个文件夹下的
然后使用:PyLingual 进行解包
可以下载下来继续分析,代码的话我会放在文章的最后,这里就放些比较离谱的
我没记错的话这个做法几千年前就失效了,没想到居然现在还有人这么写
vt = 云引擎,难怪官网说是70+个云引擎啊
软件目录是系统文件?
- tk.Label(cloud_frame, text='云查杀 (VirusTotal)', bg='white', fg=COLORS['text'], font=('微软雅黑', 12, 'bold')).pack(anchor='w')
- tk.Label(cloud_frame, text='启用后将向VirusTotal查询文件哈希,提升检出率', bg='white', fg=COLORS['text_secondary'], font=('微软雅黑', 9)).pack(anchor='w', pady=(5, 0))
- self.cloud_cb = tk.Checkbutton(cloud_frame, text='启用云查杀', variable=self.cloud_var, command=self.on_cloud_toggle, bg='white', fg=COLORS['text'], font=('微软雅黑', 10))
- self.cloud_cb.pack(anchor='w', pady=(5, 0))
- key_frame = tk.Frame(cloud_frame, bg='white')
- key_frame.pack(fill='x', pady=(10, 0))
- tk.Label(key_frame, text='VirusTotal API密钥:', bg='white', fg=COLORS['text'], font=('微软雅黑', 9)).pack(side='left', padx=(0, 5))
- self.key_entry = tk.Entry(key_frame, textvariable=self.vt_key_var, show='*', state='readonly', bg='#f0f0f0', fg='black', width=40, readonlybackground='#f0f0f0')
- self.key_entry.pack(side='left', fill='x', expand=True)
- note_frame = tk.Frame(card2, bg='white')
- note_frame.pack(fill='x', padx=20, pady=(0, 15))
- tk.Label(note_frame, text='注:免费版每日500次查询,超过将暂停。可从 https://virustotal.com 获取密钥。', bg='white', fg=COLORS['text_secondary'], font=('微软雅黑', 9, 'italic')).pack(anchor='w')
一代神人杀毒软件接入vt还要自己弄密钥,就500次而已实在强大(注意这里的500次是全部用户加起来只能使用500次,不是一设备500次)
此外附上作者的api-key:30cbb3fff701f4e832c96902a9006294e677e49587854c5b95ca9e507d0c248
- def _quick_scan_thread(self):
- # ***<module>.LeafSecurityApp._quick_scan_thread: Failure: Compilation Error
- dirs = [os.path.expanduser('~\\Desktop'), os.path.expanduser('~\\Downloads'), 'C:\\Windows\\Temp']
- cnt = 0
- for folder in dirs:
- if os.path.exists(folder) and self.root.after(0, lambda f=folder: self.log(f'正在扫描 {f}...'))
- for root, dirs, files in os.walk(folder):
- for file in files:
- fp = os.path.join(root, file)
- res = self.engine.scan_file(fp)
- if res:
- cnt += 1
- self.root.after(0, lambda f=fp, v=res['virus']: self.handle_threat(f, v))
- else:
- vt_res = self.query_virustotal(fp)
- if vt_res and vt_res[0] >= 3:
- cnt += 1
- self.root.after(0, lambda f=fp: self.handle_threat(f, 'VirusTotal云查杀'))
- self.root.after(0, lambda c=cnt: self.log(f'快速扫描完成,发现 {c} 个威胁'))
- self.root.after(0, lambda c=cnt: self.log_to_status(f'快速扫描完成,发现 {c} 个威胁', 'success'))
- self.root.after(0, self.hide_progress)
至于内壳保护呢?抱歉我把代码看了10遍都没看到,估计是放在了亚空间里了总结:其实,用API查询VT、Windows目录排除和特定文件排除这样的,本身不是什么问题。问题在于明明是一个烂大街技术却开始吹牛以此欺骗大家,这才是问题所在。
我从未见过如此厚颜无耻的杀毒,这个自制杀毒真是侮辱智商,别用!目前感觉比较正常的自制杀毒还是PYAS
最后附上逆向出来的代码(代码无法正常编译,如果自己想运行请使用ai修复代码)https://win11dncmd.lanzouu.com/ifs8m3jbjiij
本文为作者第一篇分析报告,如果有误欢迎大家指出!
|
发表于 
如此详细的分析,点赞
楼主