Skip to content
New issue

Have a question about this project? Sign up for a free GitHub account to open an issue and contact its maintainers and the community.

Sign up for GitHub

By clicking “Sign up for GitHub”, you agree to our terms of service and privacy statement. We’ll occasionally send you account related emails.

Already on GitHub? Sign in to your account

Jump to bottom

v1.6.x工具触发Windows Defender报毒 #105

Closed
G0m1b4ko opened this issue Aug 24, 2022 · 13 comments
Closed

v1.6.x工具触发Windows Defender报毒 #105

G0m1b4ko opened this issue Aug 24, 2022 · 13 comments

Comments

@G0m1b4ko
Copy link

G0m1b4ko commented Aug 24, 2022
edited
Loading

Snipaste_2022-08-25_05-38-31

v1.5.5未出现,更新v1.6.0出现
也有可能是误报
@G0m1b4ko G0m1b4ko changed the title v1.6.0工具触发Windows 安全中心报毒 v1.6.0工具触发Windows Defender报毒 Aug 24, 2022
@jie65535
Copy link
Owner

确实如此,随便找几个查毒网站试了一下,好像有一些问题

只是我从1.5.5更新到1.6.0只改变了资源,其它都没有改变,不是很清楚为什么会这样。晚点我看看怎么修复。

@jie65535
Copy link
Owner

jie65535 commented Aug 25, 2022
edited
Loading

我用公司电脑克隆仓库编译的结果,检测了一下发现虽然看起来还有一些问题,但至少微软没有再报毒了,可以帮我试试实际是否会报吗?

检测报告

实测仍然会被检测,正在尝试其他解决方案。

@jie65535
Copy link
Owner

这个 Gen:Variant.MSILHeracles.38113 到底是什么引起的,完全不理解啊。我需要帮助 T-T

@jie65535
Copy link
Owner

来自更多平台的测试报告:

所有认为有问题的结果都是这个 Gen:Variant.MSILHeracles.38113 但是我完全搜不到有关这个病毒的任何信息。

@jie65535
Copy link
Owner

在virustotal中检测,发现v1.5.5和v1.6.0的报告都差不多,该有的问题都有,只是1.5.5不会被Windows Defender查杀,不确定为什么到v1.6.0就会触发。

VirusTotal : v1.6.0 vs v1.5.5

@jie65535 jie65535 pinned this issue Aug 25, 2022
@jie65535
Copy link
Owner

似乎又没有问题了

Windows Defender

@jie65535
Copy link
Owner

经过反复验证,发现当我使用 Fody/Costura 打包应用时,会被 Windows Defender 查杀,为此我不得不手工嵌入dll,万幸的是我仅仅依赖一个 Newtonsoft.Json。

我不确定罪魁祸首是不是它,但我去掉后问题解决了。

@Yuheeeng
Copy link

Yuheeeng commented Aug 26, 2022
edited
Loading

v1.6.1仍然有这个问题
grafik

@jie65535 jie65535 changed the title v1.6.0工具触发Windows Defender报毒 v1.6.x工具触发Windows Defender报毒 Aug 26, 2022
@jie65535 jie65535 reopened this Aug 26, 2022
@jie65535
Copy link
Owner

现在已经搞的我很不自信了,我尝试过禁用代码中所有访问网络的能力,还试过禁用所有执行进程(打开url)的动作,依然会被认为是病毒。
我也试过换开发环境,在公司电脑编译一样会存在问题。
目前暂时先这样吧,周末再看看有什么办法。。。

@jie65535
Copy link
Owner

我终于知道原因了,很大概率是真的有人用我的源代码制作了病毒,然后被人上传到病毒库里了,杀毒软件只要检测到我的特征值一致,根本不管实际内容,就判定为病毒。
害的我这个官方正版被误杀,现在我的解决办法是删掉我的特征(程序集GUID),这样就能躲过杀毒软件的特征库查杀,转而认真检查程序是否真的有问题。

@jie65535
Copy link
Owner

之前为了测试到底是不是我的代码问题,我删除了超过95%的代码和资源,同样会被检出,所以我才定位到签名。
image

@AnonCYTO
Copy link

AnonCYTO commented Nov 5, 2022

問題仍然在最新版本 v1.7.2

WD

@ttimasdf
Copy link

ttimasdf commented Dec 7, 2022

問題仍然在最新版本 v1.7.2

那肯定是新版又被人拿去二次打包了呗,哈哈哈。
没办法,烂人太多了,懒人和穷人也太多了。

@jie65535 jie65535 unpinned this issue Oct 30, 2023
Sign up for free to join this conversation on GitHub. Already have an account? Sign in to comment
Assignees
No one assigned
Labels
None yet
Projects
None yet
Milestone
No milestone
Development

No branches or pull requests
5 participants
@ttimasdf @jie65535 @AnonCYTO @Yuheeeng @G0m1b4ko