昨晚我在 Hacker News 发布产品,60分钟内十几个点赞和评论。本来以为能持续保持势头,结果突然有一个人发现我的软件在 VirusTotal 有一家杀毒软件检测不通过,之后帖子就被关闭了。
我其实测试过 VirusTotal,全绿。之后临时关闭了几个功能,准备了一下发布到 HN,结果就遇到这种事。
不知道那些杀毒软件到底是检测了啥,一会报毒一会不报。那个人还继续发评论,仅凭一些不知名的杀毒软件的报告,一副笃定的模样说我的软件就是病毒软件。他自己真的有测试并发现恶意行为吗?
下次再发到外网时,应该注意这些检测报告,不过发现飙红也没法改,毕竟谁也无法删除不存在的代码。
这….你看md5了么?按理说,如果文件不变,结果也不会变呀
关闭了几个功能,重新编译了,文件变动了。我几天前检测过没问题,软件又不是真的病毒,对检测没有上心,结果杀毒软件变卦了。
不好说,如果病毒库改变了,重新检测可能会有变化。
试了更改程序,再测试杀毒软件,发现有些杀毒软件是真的是随机报错,根本不是根据什么软件行为来检测的。
我就把 main 函数返回值从 0 改成 1,无意义的改动,然而杀毒软件就不再报毒。
这家杀毒软件叫 MaxSecure。网上查了一下,是一家印度公司,还搜到一条它把播放器误报成病毒。
加壳了嘛?做混淆了嘛?我的程序,加了TMD壳(不是脏话啊,他就叫这个),然后几乎所有的杀软都报毒,于是我就把杀软都卸载了
写出来的软件分享给别人 杀软会报毒+1
可能买证书会好点?不确定
都没有。报毒的模块代码相当简单,没有第三方库,总共就几十行。
没证书也可以全绿,不一定报毒。就这个叫 MaxSecure 是随机报毒的,别家的杀软都稳定通过。
MaxSecure似乎有false positive的传统,而且你不是唯一的受害者。不过,没办法
只有一家报毒就认为不安全,那有点离谱了。
实际生产中遇到这种不确定的文件,我们上传VirusTotal看一下,大部分杀毒软件不认为是病毒就没问题。
然后我也看了下MaxSecure这家公司,是印度公司,然后下面还有个OPSWAT合作伙伴的链接,点进去一看,MaxSecure已经被移除了。
看来这家是个惯犯。害我不浅。我当时那个帖子势头很好,发帖一个小时 GitHub 就引来上千流量,如果继续下去,我觉得是有机会上首页的,结果被这家印度公司背刺。
好奇你是怎么发的?几年来我在hacker news发的所有帖子都是石沉大海,大多数一个回复都没有。
真“随机”的话应该被踢下去吧。如果事实如此在 Windows 上安装这个软件时 Microsoft Defender 也会自动关闭的话微软本身的那个“认证”不就变得毫无意义了,毕竟貌似并不是随意开发一个“杀毒软件”并安装 Microsoft Defender 就会关闭。还是说 VirusTotal 本身也认为没问题 
。
