`
csstome
  • 浏览: 1530966 次
  • 性别: Icon_minigender_1
  • 来自: 北京
文章分类
社区版块
存档分类
最新评论

解决迈克菲误报易语言库文件com.run为后门程序的过程

阅读更多

作者:liigo,转载请注明出处:http://blog.csdn.net/liigo/archive/2008/11/20/3342583.aspx。

这两天,迈克菲(McAfee)升级后(引擎版本:5.3.00,病毒库版本:5439),开始“误报”易语言库文件 com.run 为后门程序(“BackDoor-CJV”)。易语言公司与其中国区和外国总部多次联系未果后,我们决定尝试自行解决病毒误报问题。

注意,我使用“误报”二字,是因为com.run确实不是病毒或木马,也决不是恶意程序,——看完本文将印证此观点。com.run是一个DLL,它的作用是为易语言程序调用OCX/COM提供支持。杀软认定它是病毒/木马/恶意程序并删除之,是错误的不负责任的行为。

迈克菲之前一直没有误报com.run,而该文件近期也没有变动。之所以误报,显然是由于杀毒软件版本升级后,某个新增的病毒/木马“特征码”被com.run文件触发。

而我们自行解决“误报”问题,也是基于某种原始的认知:大概是某段C++代码编译结果,被杀软错误地提取了“特征码”。通过逐段屏蔽代码的方式,或许可以发现是哪段代码触发了“特征码”,然后将该段代码变换另一种写法(但保持功能不变),就有可能解决被“误报”的问题。

这种方式当然非常原始,也非常低效,但理论上应该可以可行。毕竟这是一个由 VC 6.0 编译出的标准DLL文件,我把所有代码都屏蔽,编译生成的空白DLL难道还会被报病毒或木马?

我(liigo)花了一整天的时间,把所有函数中的代码全部屏蔽,边屏蔽边查毒检测,然而直我把工程中的所有.cpp文件全部移除,编译出的DLL已经没有任何可执行代码了,迈克菲依然“误报”!

仔细检查程序,发现DLL中还有两个位图资源,哦,可能是图片内容被提取特征码了吧,把位图内容清空成纯白色,还是误报;把位图文件改个名字,还是误报。直接把位图删除呢,哎,不误报了!那我就奇了怪了,这个位图资源有什么特殊的地方吗?没有啊,在EXE或DLL文件中加入位图资源是非常普通的事情,而且我都把位图内容清除成纯白色背景了,你还想怎么样啊?

最后没办法了,我改一下位图资源的ID吧,随便改成了另一个数值,还别说,这次改到正点儿上了,迈克菲不再误报了。然后返工,把之前所有屏蔽或修改的代码全部复原,只是保留对位图资源ID的修改,提交给迈克菲检测,不再有“误报”现象发生。

结论,迈克菲针对com.run这个文件提取的“特征码”位于其中位图资源ID前后的位置。但我就不明白了,为什么在这个位置提取特征码,这里有威胁吗,你倒是给个正当的理由出来。况且当时我都已经将程序中的代码全部屏蔽了,这是一个空白的DLL(只有位图资源和版本资源,其中版本资源是VC6自动生成的)!哦,难道说,不修改这个数值,它就是病毒,修改了,就不是病毒了?呵呵,我只有苦笑!

有时候我(liigo)在想,我们是否需要另一种更先进更准确的检测手段,来取代目前主流的基于“特征码”的已经相对落后的病毒检测手段?联想到之前已经发生过多次的沸沸扬扬的病毒误报事件,公众对这种需求似乎更加迫切。否则,大家是否会逐渐失去对杀毒软件的信任?

分享到:
评论

相关推荐

    联想工程师专用小工具129-迈克菲卸载工具V1.48.1.exe.zip

    而此工具则能深入系统底层,定位并清理所有与迈克菲相关的注册表项、服务、文件和配置,确保卸载过程的完整性和无残留。 使用这款工具的过程相对简单,首先,将“联想工程师专用小工具129-迈克菲卸载工具V1.48.1....

    迈克菲卸载工具.exe

    迈克菲卸载工具.exe迈克菲卸载工具.exe迈克菲卸载工具.exe迈克菲卸载工具.exe迈克菲卸载工具.exe迈克菲卸载工具.exe迈克菲卸载工具.exe迈克菲卸载工具.exe迈克菲卸载工具.exe迈克菲卸载工具.exe迈克菲卸载工具.exe...

    小程序工具 迈克菲卸载工具V1.48.1.zip

    免责声明:资料部分来源于合法的互联网渠道收集和整理,部分自己学习积累成果,供大家学习参考与交流。收取的费用仅用于收集和整理资料耗费时间的酬劳。 本人尊重原创作者或出版方,资料版权归原作者或出版方所有,...

    联想工程师专用小工具 迈克菲卸载工具V1.48.1

    联想工程师专用小工具 迈克菲卸载工具V1.48.1联想工程师专用小工具 迈克菲卸载工具V1.48.1联想工程师专用小工具 迈克菲卸载工具V1.48.1联想工程师专用小工具 迈克菲卸载工具V1.48.1联想工程师专用小工具 迈克菲卸载...

    迈克菲卸载工具V1.48.1.exe

    电脑维修小工具

    关于迈克菲重点安全解决方案的介绍说明.zip

    本压缩包包含的“关于迈克菲重点安全解决方案的介绍说明.pptx”文件,很可能是详细阐述迈克菲在关键安全领域的策略、产品和功能的演示文稿。 迈克菲的安全解决方案涵盖了多个方面,包括但不限于以下几个关键领域: ...

    迈克菲卸载工具MCPR.zip

    "迈克菲卸载工具MCPR.zip" 是一个压缩包,内含名为 "迈克菲卸载工具MCPR.exe" 的可执行文件,该文件是迈克菲公司提供的用于卸载其产品的专用工具。它设计用于处理那些通过常规方法难以卸载的预装迈克菲软件,尤其是...

    McAfee 迈克菲杀毒软件 v12.1.0.1945

    McAfee即迈克菲,McAfee(迈克菲)是全球最大的安全技术公司迈克菲出品的一款反病毒安全软件,杀毒软件,如今... McAfee(迈克菲)功能特点 借助一流顶尖的防恶意软件保护,远离特洛伊木马程序、病毒、间谍软件、Rootkit

    迈克菲卸载工具辅助软件

    "迈克菲卸载工具辅助软件"就是针对这种情况设计的,它专为Windows XP、Windows 7、Windows 8以及Windows 10操作系统提供了一个便捷的卸载解决方案。 通常,通过控制面板或程序管理界面卸载迈克菲可能会遇到一些问题...

    迈克菲卸载工具 MCPR.exe

    迈克菲卸载工具 MCPR.exe

    联想杀毒plus迈克菲MacAfee卸载.rar

    在卸载迈克菲的过程中,用户可能会遇到的一个常见问题是,标准的卸载程序无法彻底清除所有相关文件和设置,从而导致软件的“残留”。这不仅影响新安装的软件,还可能给系统留下安全隐患。因此,使用专门的卸载工具...

    迈克菲企业版杀毒软件 VSE 8.8 P14

    迈克菲(McAfee)是全球知名的网络安全解决方案提供商,其企业版杀毒软件 VirusScan Enterprise(VSE)是众多企业和组织信赖的安全防护工具。VSE 8.8 P14 是该系列的一个重要版本,它提供了先进的病毒检测和防护功能...

    迈克菲卸载工具纯净版

    "迈克菲卸载工具纯净版"就是专为这种情况设计的,确保能够完整、干净地从计算机中移除迈克菲的所有组件,避免留下残留文件或注册表项,这些残留可能会干扰系统的正常运行。 在常规的程序卸载过程中,有时迈克菲的...

    迈克菲专卸、卸载、Mcfee1618904779285.exe

    迈克菲专业卸载工具

    Mcafee Endpoint Product Removal迈克菲漫咖啡麦咖啡企业版最新卸载工具

    迈克菲(Mcafee)是全球知名的安全软件供应商,为企业和个人用户提供了一系列全面的网络安全解决方案。其中,Mcafee Endpoint Product Removal是一款专为帮助企业用户方便、安全地卸载迈克菲企业版产品的工具。这款...

    迈克菲企业版杀毒软件 VSE 8.8 P15

    注意:VSE即将进入McAfee...https://www.mcafee.com/enterprise/en-us/support/product-eol.html VirusScan Enterprise 的受支持平台、环境和操作系统 https://kc.mcafee.com/corporate/index?page=content&id=KB51111

    迈克菲专用卸载工具(McAfee Software Removal).zip

    迈克菲卸载程序软件说明:本程序能够删除McAfee软件该实用程序将删除所有由McAfee在您的计算机上安装的组件。您将被要求重新启动的过程结束。在开始之前,请确保您已通过“添加/删除程序”卸载所有McAfee产品。

    mcafee三年版 迈克菲3年免费安装

    迈克菲防病毒加(McAfee AntiVirus Plus)是其产品线中的基础版,提供了基本的防病毒保护,包括实时扫描、定期更新病毒库、自动扫描下载的文件以及电子邮件附件。它还具有防火墙功能,能防止未经授权的外部访问,...

    迈克菲安装程序

    这个东西不是破解版的,可以直接安装使用(好像,我就是这样用的)

    迈克菲卸载工具

    迈克菲卸载工具,支持卸载windows10卸载迈克菲。帮助用户节省空间。

Global site tag (gtag.js) - Google Analytics