GrasscutterCommandGenerator icon indicating copy to clipboard operation
GrasscutterCommandGenerator copied to clipboard

Published 20 hours ago verified publisher icon jie65535

v1.6.x工具触发Windows Defender报毒

Open G0m1b4ko opened this issue 2 years ago • 11 comments

Snipaste_2022-08-25_05-38-31

v1.5.5未出现,更新v1.6.0出现 ~~也有可能是误报~~

G0m1b4ko avatar Aug 24 '22 21:08 G0m1b4ko

确实如此,随便找几个查毒网站试了一下,好像有一些问题

  • https://habo.qq.com/file/showdetail?pk=ADcGbl1oB2EIP1s9U2E%3D
  • https://www.virscan.org/report/a3a32b2c902b06c10b95023438147dc0710619e9324d1144f123ac0f6fa4ed41
  • https://www.virustotal.com/gui/file/a3a32b2c902b06c10b95023438147dc0710619e9324d1144f123ac0f6fa4ed41

只是我从1.5.5更新到1.6.0只改变了资源,其它都没有改变,不是很清楚为什么会这样。晚点我看看怎么修复。

jie65535 avatar Aug 25 '22 00:08 jie65535

我用公司电脑克隆仓库编译的结果,检测了一下发现虽然看起来还有一些问题,但至少微软没有再报毒了,可以帮我试试实际是否会报吗?

检测报告

  • https://www.virustotal.com/gui/file/0d30f790f1d3cbcba3ed60959e7bd7a00a631f141e4b76e66053c1827ca4029d?nocache=1
  • https://www.virscan.org/report/0d30f790f1d3cbcba3ed60959e7bd7a00a631f141e4b76e66053c1827ca4029d

实测仍然会被检测,正在尝试其他解决方案。

jie65535 avatar Aug 25 '22 01:08 jie65535

这个 Gen:Variant.MSILHeracles.38113 到底是什么引起的,完全不理解啊。我需要帮助 T-T

jie65535 avatar Aug 25 '22 02:08 jie65535

来自更多平台的测试报告:

  • https://internxt.com/virus-scanner?irclickid=3%3AqS8b2ksxyNTpPzoKRIEQ4NUkDUbc0NZ1pzWc0&irgwc=1&utm_source=Impact&utm_medium=245992
  • https://opentip.kaspersky.com/29E7FE6A02438BF8DD9D403A14C5629873187D4E03C3B3E05860664012D30190/
  • https://virusscan.jotti.org/zh-CN/filescanjob/zlgykjp0dh
  • https://maldun.com/analysis/YXNkZmRzZmFkc2Y3MDU2NDFkc2Zhc2RmYXNkZg==/
  • https://www.virustotal.com/gui/file/e2d088284db0f72ee9119e0f129a9bcca8e6428600cd57e45b8b6bab8aa7c34b/detection

所有认为有问题的结果都是这个 Gen:Variant.MSILHeracles.38113 但是我完全搜不到有关这个病毒的任何信息。

jie65535 avatar Aug 25 '22 03:08 jie65535

在virustotal中检测,发现v1.5.5和v1.6.0的报告都差不多,该有的问题都有,只是1.5.5不会被Windows Defender查杀,不确定为什么到v1.6.0就会触发。

VirusTotal : v1.6.0 vs v1.5.5

jie65535 avatar Aug 25 '22 03:08 jie65535

似乎又没有问题了

Windows Defender

jie65535 avatar Aug 25 '22 03:08 jie65535

经过反复验证,发现当我使用 Fody/Costura 打包应用时,会被 Windows Defender 查杀,为此我不得不手工嵌入dll,万幸的是我仅仅依赖一个 Newtonsoft.Json。

我不确定罪魁祸首是不是它,但我去掉后问题解决了。

jie65535 avatar Aug 25 '22 14:08 jie65535

v1.6.1仍然有这个问题 grafik

Yuheeeng avatar Aug 26 '22 04:08 Yuheeeng

现在已经搞的我很不自信了,我尝试过禁用代码中所有访问网络的能力,还试过禁用所有执行进程(打开url)的动作,依然会被认为是病毒。 我也试过换开发环境,在公司电脑编译一样会存在问题。 目前暂时先这样吧,周末再看看有什么办法。。。

jie65535 avatar Aug 26 '22 04:08 jie65535

我终于知道原因了,很大概率是真的有人用我的源代码制作了病毒,然后被人上传到病毒库里了,杀毒软件只要检测到我的特征值一致,根本不管实际内容,就判定为病毒。 害的我这个官方正版被误杀,现在我的解决办法是删掉我的特征(程序集GUID),这样就能躲过杀毒软件的特征库查杀,转而认真检查程序是否真的有问题。

jie65535 avatar Aug 29 '22 15:08 jie65535

之前为了测试到底是不是我的代码问题,我删除了超过95%的代码和资源,同样会被检出,所以我才定位到签名。 image

jie65535 avatar Aug 29 '22 16:08 jie65535

問題仍然在最新版本 v1.7.2

WD

AnonCYTO avatar Nov 05 '22 06:11 AnonCYTO

問題仍然在最新版本 v1.7.2

那肯定是新版又被人拿去二次打包了呗,哈哈哈。 没办法,烂人太多了,懒人和穷人也太多了。

ttimasdf avatar Dec 07 '22 13:12 ttimasdf