※ [本文转录自 C_and_CPP 看板 #1KmCosb1 ]
作者: i78524 (Shulei) 看板: C_and_CPP
标题: [问题] 程式被误判为病毒？用C++与Qt编写
时间: Thu Jan 22 18:10:59 2015
开发平台(Platform): (Ex: VC++, GCC, Linux, ...)
Qt creater 3.2.2
额外使用到的函数库(Library Used): (Ex: OpenGL, ...)
Qt
问题(Question)：
各位版友好
小弟写了个程式与网友们分享
下载连结是：http://ppt.cc/~y7l
不过有几位网友跟小弟反映说有毒
目前有两种情况：
(1). google 硬盘不给抓，说这个rar有毒
不过把浏览器关掉重开之后就可抓了不会报有毒
(目前遇到三个不同人的相同案例 ptt版友+亲友*2)
(2). 被win8的 windows smartscreen档掉 (ptt版友*1)
●针对此问题，我做了以下测试
拿了之前分享到网络上的档案，使用virustotal与metascan-online去测试
测试一：只拿release资料夹的.exe档，不考虑dll
(1). 拿去virustotal网站测试l：防毒Bkav 侦测有 HW32.Packed.253C
(2). 拿去metascan-online测试：防毒ByteHero 侦测有 Trojan.Win32.Heur.Gen
测试二：exe档连同dll放到同一个资料夹，用rar包起来(结果与测试一相同)
(1). 拿去virustotal网站测试l：防毒Bkav 侦测有 HW32.Packed.253C
(2). 拿去metascan-online测试：防毒ByteHero 侦测有 Trojan.Win32.Heur.Gen
测试三：使用emigma virtualbox将可执行档与dll包成单一.exe
最后再用rar打包(这是我会拿给一般使用者的最终样式)
(1). 拿去virustotal网站测试：防毒F-Prot 侦测有 W32/S-a54b5573!Eldorado
这是最后测试果清单：http://ppt.cc/tWFD
(2). 拿去metascan-online测试：全部测试通过
这是最后测试果清单：http://ppt.cc/gDC9
目前没有看到大厂牌的防毒说我的程式有毒，这是目前比较心安的！
( Bkav是越南的防毒软件，ByteHero百锐是中国的防毒软件，F-Prot不太认识 )
●已经做的挣扎：
使用 另一台 前天刚重惯win7 的干净电脑，安装Qt Creater重新release一次程式
再重新使用virustotal与metascan-online网站检测一次
结果是完全相同！(有将档名以及内容换掉，让扫毒网站另外重新上传新档案测试)
●结论与求救：
由于这是在已经重灌过后的干净电脑重新编译过后的结果
因此，我十分相信我的程式是被防毒软件误判的
(侦测率是1 / 53左右，也就是53个防毒软件仅有一个认为他有毒)
虽然有毒似乎是个案，不过心中还是蛮不安的...
毕竟写程式是想要给大家开开心心用，如果真的让人中毒了话我要负很大的责任
想请教版上高手，是否有遇到这种情况，请问该如何解决？
我是不是在写程式的过程中哪里没注意到，让软件将我误判成病毒？
经过这样的测试真的可以宣告我的程式无毒吗？
如果您觉得这篇发问有更适合的版，请您告诉我，谢谢您。
也感谢您看到最后。

出门左转， AntiVirus ，谢谢。

自己写的程式 没有sign过很容易被误判啦 正常现象

正常现象=-=

我是原po，虽然很怕听到坏消息但还是来听听贵版版友专业意见，谢谢各位！

你自己写的，阿就误判啊，大概是Qt的Library片段被拿去当病毒特征码了你都已经附原始码了，叫那些担心的人要嘛自己编译要嘛不要用1/53 你干嘛担心成这样

对阿 自己写的程式有没有问题应该很清楚吧XDDD难道是还必须说服亲友吗XDDD 如果是的话真的无法度如果是真的真的很重要的程式 你可以送给防毒公司判断看看但耗时较久搂~!可向各家防毒公司询问方式~~

我是原po，看来我是庸人自扰了，感谢楼上两位的回应！

不客气 应该是说 你询问的原因是怕自己写出病毒吗?还是是因为要用的人会担心? 如果是后者 就报给防毒公司搂

把你报毒的都是几乎名不见经传的防毒软件 我是觉得没差 有可能是没带签章或qt加的壳他们不认识吧 有没有害src都在你手上了阿XDD

说不定是你引用的某个东西有问题很多open ssl不也都开放给大家看结果多半的人也没能力检查那code的问题在哪还以为加上SSL就很安全结果是特别危险

这么行何不直接看src点出是哪个地方有问题？

那你要看你引用的module和module引用的你看那些hitcon的影片他只窜改了SQLlib其中的2%你要去看谈何容易况且你怎么知道他用的是哪种方法夹带指向网址通常比较容易发现可是其他的呢?这些都是曾经发生过的案例有兴趣可以google一下光是读别人写的code就要读到眼睛脱窗了还要读到懂到能改写又是另一个境界就是自己搞不定才来发问的

如果是引用有问题 不太可能只有这种小只的会叫吧

那如果是组合问题呢?

比如说?

他的写法刚好符合了病毒特征

...

好久以前在写efix的时候只要是有用for语法去扫描c到z那些有实体磁盘在的话某些防毒就会报毒，要用一些方式绕过才没问题这样...会误判很正常的...让我想到好久以前为了要躲一些病毒侦测和防毒侦测搞的像是在写病毒一样的一直绕圈圈，两行就可以搞定的动作写了几十行这样orz 不过还蛮有趣的就是

同理病毒要绕着写一样可以绕过防毒

楼上你为什么要一直用部分涵盖全部呢? 这时候不就可以判断出防毒软件的侦测和防误判能力高低 你是以为全部防毒都是同个厂商写的 或是运作原理大同小异吗

你的防御网只要被某只病毒绕过基本上就有可能瓦解

你要用这件事情判断防毒软件的不必要吗?不要说"等你遇到就知道了"这种戒慎恐惧的没营养的话 我只想问你认为一般使用者依靠防毒软件有什么不对的地方

那就自求多福吧

那就好 你现在可以考虑去买个卡巴扫看看电脑有多少毒?

你不要用你在板上那套拿来跟我说懂吗

这年头PTT风气变那么多啊..？ 好久没上来看感觉差好多~

业代太多

业代...= = 我超推免费的COMODO+小红伞组合喔我也很想讨论实际点的东西 而不是那种想都知道的超级病毒存在与否问题 这阵子一直都是很想搞清楚某版友到底是做了什么丰功伟业或有什么好东西可以让他自满成这样 结果都码只是拿别人的做法和资讯来提 连最基本的写程式写病毒的原理就是要重复执行某个动作的概念都没有就一直提骇客和病毒是不一样的这种话我个人是针对这些逻辑上的疑惑在讨论而已 别当成意气之争orz另外我推荐你卡巴是因为我觉得你可能用不起Comodo+红伞阿= =另外真的不要鼠目寸光当看到重点 这样只会让人觉得你是来乱的