为什么下的文件会报毒,怎么才能识别是否误报

为什么下的文件会报毒,怎么才能识别是否误报

很多时候,我们在网站上下载的文件,果核剥壳网站的用户在本站下载的部分软件,都被杀毒软件拦截了,经常提示我们下载的文件有病毒的有

360安全卫士,QQ电脑管家,金山毒霸等

下面果核就为大家科普一下杀毒软件报毒的原因

1.直接拦截编程语言

目前,市面上很多的小程序,小工具都为易语言开发,易语言这个软件是一款中文编程软件,支持用户使用中文开发程序,并且有丰富的第三方模块以及支持库可用,生态环境好,并且对于个人用户来说,上手简单,开发效率高。被开发出的软件,百分之50以上用于外挂,病毒,盗号等领域

这个时候,你应该知道原因了,就是因为外挂市场的泛滥成灾,被杀毒软件直接一竿子打死!

易语言开发外挂,病毒和木马概述

易语言病毒原理

易语言能相当方便的对内存进行读写,以及劫持程序dll文件。除了易语言本身中文比较好理解以外,其中第三方模块占了很大一部分原因,各种超级模块,外挂海模块等能对游戏内存进行改写。开源的代码非常多,很多外挂源码能拿来直接编译成软件使用,门槛进一步降低。

除了外挂等软件,另一个就是病毒和木马了,有很多低龄开发者,就是想搞一个恶作剧而已,使用易语言写一个小病毒去禁用电脑各种功能,达到恶作剧的目的。盗号木马大部分也是易语言所做,例如以前的各种QQ大盗,其大部分木马的原理是模仿QQ的界面,拦截QQ的进程,重新加载一个自己模仿的QQ界面,用户以为是正常的QQ界面就输入账号和密码,点击登录,这个时候账号和密码就被发送到木马制作者的服务器去了,然后再随便弹出一个报错提示等,让用户以为是自己账号密码输入错误。

但是随着技术的进步,直接盗取账号密码的情况已经非常少了,目前流行的是盗取QQkey,我们在QQ客户端点击打开空间以及邮箱之类的功能,不需要输入账号密码,其中有一个QQkey起关键作用。木马盗取到这个key以,就拥有了权限,能获取用户各种信息。

外挂分免费外挂和收费外挂,大多数免费外挂都自带盗号木马。

360等杀毒软件根据易语言的特征码,直接判断为病毒。如下图,通过PE查询工具,可以看到易语言编译的文件通常为VC98连接器,显示为Microsoft visual C++ ver 5.0/6.0 ,这个编译器目前基本上只有易语言在用了。大家在判断的时候,也很容易判断是否为易语言开发。

易语言开发效率高,果核也很喜欢用这个软件开发小工具,奈何被杀毒报毒,这个也是没有办法的事情,一般正规软件,果核会去杀毒软件误报提交页面提交,后面会解除报毒,但是,一些绿化工具,并不会解除误报的,所以杀毒软件还是会拦截!

所以大伙在本站下的很多软件,果核会注明为易语言开发,请设置杀毒信任软件后再使用。

2.软件签名不正确

据悉,一般来说大公司的软件都会有数字签名,点击文件,右键-属性,可以看到相关信息,大软件会有一项为数字签名的栏目,里面保存了数字证书。

修改注册表

注册表承载了系统大部分功能,通过修改注册表能够禁用系统各种功能,以及优化,破坏系统,对普通用户来说,注册表是一个神秘的地方。

大多数绿化软件和安装包一样,在第一次使用的时候,会对注册表进行操作,因为是绿化工具会模拟安装包安装程序的一个过程,一些软件需要依赖注册表才能正常运行,使用绿色软件也需要和他们打交道,在进行对注册表操作的时候,杀毒软件就会拦截。

读写系统文件

系统文件一般是指C盘下Windows目录,这是Windows系统核心文件目录,如果随意改动,有可能会出现无法正常启动系统的情况。

一部分软件在安装的时候,需要把一些公共链接库,驱动文件等写入系统目录,以达到相关功能。理论上说,大部分的链接库(dll文件),放到程序根目录也可以,但是一些软件为了方便或者是有多个地方调用链接库,直接把链接库写入系统目录,注册后,可以在系统任意位置使用。

绿色软件当然也会执行这些操作,绿化的时候复制这些文件,在卸载的时候也会删除这些文件。对系统目录进行读写,所以被拦截。

4.入选特征库

现在的杀毒软件以及安全卫士都有云端大数据库,并且共享给其他杀毒软件别问我怎么知道的。当然,这个并不是明面上的共享。

那么就造成了,一家杀毒软件报毒,一片杀毒软件报毒。为什么?恭喜软件入选杀毒软件特征库。这并不是说入选特征库有问题,因为杀毒软件的特征库里面包含了大部分的病毒特征,识别率还算是准确。但是一些软件,和病毒用了一些同样的库,可能这个软件也会被报毒。