360fans_u33426548 发表于 2019-5-4 16:40

360杀毒之窦娥冤:没在运行的程序被误报修改开机启动项

本帖最后由 老虎会游泳 于 2019-5-4 16:47 编辑

如图:




我实在是不能控制自己的情绪,对此不喷不快。我好不容易用C++ QT开发出来的程序,没有任何修改开机启动项的功能,最关键的是它只是放在桌面上了而已,根本就没有运行啊。然后,我安装了一下Wireshark,360杀毒居然报告我的程序修改开机启动项???!!!这到底是神马逻辑?360杀毒的“内心戏”难道是这样的:

1. “桌面上有一个我不认识的exe,真可疑。”

2. “嗯,有一个通过我不认识的安装程序(Wireshark安装程序)启动的安装程序(VC++运行库安装程序)正在添加开机启动项。虽然它具有微软的数字签名,它的父进程也具有合法的数字签名,但是看起来还是很可疑。”

3. “嗯,这个操作那么可疑,一定是桌面上那个可疑exe干的!!!”


噗,对此我简直无话可说。在我的程序运行的时候你说它可疑就算了,现在我的程序没有运行,其他程序做了个如此正常的添加启动项操作居然也能赖到我的程序上???!!!这种“污程序清白”的操作给我们软件开发者带来了很大的困扰你们知道吗,你们的可疑程序报告就不能靠谱一点吗???!!!就是因为客户反馈360报毒,我花了大量时间检查我的程序有没有被恶意代码感染,但是结果却一无所获。直到今天看到了360居然可以这么误报我的程序,我真是大开眼界。


以下从360杀毒误报反馈窗口粘贴:
-------------------------------------------------------

如果您遇见程序被误报,请及时反馈给我们:
文件名:C:\Users\Lnovo\Desktop\BTCTools-v1.2.1.1-LPMConf.exe
文件MD5:b7c124ffb59be73be47353fc658ed1ae
文件SHA1:2b6e3a21a4ba84b96de9f627355dfae48ac9e2f6

你们可以从这里下载到两个涉事文件:

没有启动就被误报的“可疑程序”:
      qiniu.img.hu60.cn/file-hash-exe-b7c124ffb59be73be47353fc658ed1ae14757376.exe
只是进行正常操作却被莫名其妙拦截并且嫁祸给其他程序的Wireshark安装程序:
      qiniu.img.hu60.cn/file-hash-exe-8a06061bb19d8fae7a2536ee84796d7a59530896.exe

360fans_u33426548 发表于 2019-5-4 17:11

本帖最后由 老虎会游泳 于 2019-5-4 17:17 编辑

此外,“可疑程序”的网络操作部分(局域网设备扫描、设备配置等)已经开源了,里面用Lua脚本实现了业务逻辑:github.com/btccom/libbtctools

整个“可疑程序”只是这个网络操作部分套一个QT的GUI形成的而已。Lua脚本做为QT资源打包。
这个“可疑程序”绝对不会在用户未操作的情况下自行扫描或者配置任何局域网设备。

然后,它有一个通过HTTPS URL检查更新的功能,访问的URL是 url.btc.com/btc-tools-update,这只是一个JSON文件,在发现新版本后GUI只是会弹出提示框,用户点击确定后在浏览器打开新版本下载链接,绝对不会自行下载文件。

我实在是想不通,为什么这样一个纯洁善良并且连压缩壳也没有加的程序会被报告为木马。

360fans_uid24929363 发表于 2019-5-4 17:38

您好,针对您反馈的文件,建议您提交文件审核,这个是网站http://open.soft.360.cn/report.htm,感谢您的支持!

360fans_oxeF4b 发表于 2021-2-24 09:47

我们也遇到了这个问题(安装包没有任何修改开机启动项的地方却被当成了木马,wix打包的,似乎微软的安装包机制需要在\ProgramData\Package Cache下生成一个同名文件给卸载软件使用),提交了文件审核,但是程序修改后重新打包又会报这个提示被当木马处理,必须再次提交到open.soft.360审核吗?还是有别的途径(比如360有什么工具能快速验证新安装包)来解决这个问题

360fans_oxeF4b 发表于 2021-2-24 14:41

360的回复贴在这里,这样大家都能最快的找到解决方法

您好,360安全卫士基于文件MD5+SHA1进程文件区分和查杀。
软件每次修改或更新,文件MD5+SHA1会发生变化,需要重新提交检测
我平台检测软件,解除拦截,不收取任何费用


如果您的软件有被360产品拦截,请按照以下方式解决:      
加入“360软件开放平台”(open.soft.360),成为5亿网民认可的软件!
加入流程:
第一步 用户注册:到 open.soft.360. 注册用户,并填写账户资质信息
第二步 用户审核:360软件开放平台收到注册信息后,对审核通过的用户开通VIP用户权限。
第三步 提交软件:VIP用户提交软件,请详细填写软件相关信息
第四步 检测结果:360软件开放平台对提交的软件提供人工+多引擎免费检测服务,为PC软件安全保驾护航。

并十分感谢您的支持和理解!
页: [1]
查看完整版本: 360杀毒之窦娥冤:没在运行的程序被误报修改开机启动项