神马文学网匪夷所思!纠结的易语言5.x误报......
来源:百度文库 编辑:神马文学网 时间:2024/07/08 11:19:27
昨晚吃饱了撑的想研究研究易5.x的误报问题,顺便"冒个泡以示存在"
打开VirusTotal传了个核心库(静态)上去,没一家误报.很好,易语言在我意料之中.
紧接着又编译了个空窗口(文件名emptywindow.exe),上传检测.好嘛,41家(大概是41家吧,我也记不清了= =)里有22家误报,吓我一跳!这叫什么事?
仔细一分析,生成的EXE就是OBJ+RES+XXX(linker做的一些工作).linker一定是没问题的了,EXE的核心代码全在OBJ里,而参与主要工作的静态核心库也没有问题,那么"主要责任"应该在OBJ了.上传OBJ,扫描分析后结果令人哭笑不得:41家0报毒.
又想到之前有杀毒软件曾在EXE资源里取特征码,赶紧把RES上传上去看看.结果如出一辙:0报毒.= =!
排除这些可能,难道是linker有问题?赶紧新建了一个空的控制台程序,编译,上传.EXE 7家报毒,OBJ 0报毒,RES 0报毒.正好印证了我的猜想.
看来可能真的是linker的问题,手头还有个VC9linker,晚上回去换换试试= =
注:又换了VC10linker,误报现象更少了.真是郁闷,VC6linker->VC9linker->VC10linker,误报的杀软急剧减少,这一结果着实让人想不通.
又注:抽空写个PHP脚本,大家把误报的OBJ和RES上传到我的站点上来就可以生成减少误报的程序了.(病毒木马请自重,有防御机制).
打开VirusTotal传了个核心库(静态)上去,没一家误报.很好,易语言在我意料之中.
紧接着又编译了个空窗口(文件名emptywindow.exe),上传检测.好嘛,41家(大概是41家吧,我也记不清了= =)里有22家误报,吓我一跳!这叫什么事?
仔细一分析,生成的EXE就是OBJ+RES+XXX(linker做的一些工作).linker一定是没问题的了,EXE的核心代码全在OBJ里,而参与主要工作的静态核心库也没有问题,那么"主要责任"应该在OBJ了.上传OBJ,扫描分析后结果令人哭笑不得:41家0报毒.
又想到之前有杀毒软件曾在EXE资源里取特征码,赶紧把RES上传上去看看.结果如出一辙:0报毒.= =!
排除这些可能,难道是linker有问题?赶紧新建了一个空的控制台程序,编译,上传.EXE 7家报毒,OBJ 0报毒,RES 0报毒.正好印证了我的猜想.
看来可能真的是linker的问题,手头还有个VC9linker,晚上回去换换试试= =
注:又换了VC10linker,误报现象更少了.真是郁闷,VC6linker->VC9linker->VC10linker,误报的杀软急剧减少,这一结果着实让人想不通.
又注:抽空写个PHP脚本,大家把误报的OBJ和RES上传到我的站点上来就可以生成减少误报的程序了.(病毒木马请自重,有防御机制).