Trojan:Win32/CryptInject ml là gì

Phần 2. Làm việc với (các) nhà phát triển chống vi-rút

Hướng dẫn này dành cho các nhà phát triển đã biên dịch lại bộ nạp khởi động Pyinstaller cục bộ của bạn, làm việc trực tiếp với (các) nhà phát triển Chống vi-rút là một bước tuyệt vời tiếp theo. Trong hướng dẫn này, tôi cung cấp thông tin và tài nguyên bạn sẽ cần để thực hiện việc này một cách nhanh chóng.

Môi trường phát triển của tôi

Trong phần này, tôi đã bao gồm tên được báo cáo và các liên kết đến bách khoa toàn thư về phần mềm độc hại của Microsoft để tham khảo cùng với các môi trường phát triển mà tôi làm việc để bạn tham khảo.

Cờ chống vi-rút dương tính giả mà tôi đã nhận được

• Trojan: Win32 / Wacatac.C! Ml
• Trojan: Win32 / CryptInject! Ml

• Python : 3.9.1, 3.8.6, 3.8.7, 3.7.8
• PIP: 21.2.4
• Pyinstaller : 4.5.1 , 4.2, 4.1 mới nhất
• Hệ điều hành : Windows 10 Home 64/32 Bit, Professional 64/32 Bit, Enterprise 64/32 Bit, Windows Server 2012 R2

Dưới đây là Hướng dẫn từng bước về cách làm việc với các nhà phát triển chương trình chống vi-rút.

Tôi sẽ hướng dẫn bạn cách xác minh những nhà phát triển bạn muốn làm việc cùng, những gì họ mong đợi và cung cấp cho bạn thông tin bạn cần để làm việc với từng nhà phát triển một cách nhanh chóng.

1. Xác nhận bạn đã hoàn thành tất cả các bước trong Phần 1

Trước khi dành thời gian làm việc trực tiếp với các nhà phát triển chương trình Chống vi-rút, hãy đảm bảo rằng bạn cần làm như vậy.

• 1.1 Xác nhận bạn đã theo dõi Phần 1 của loạt bài này: Python Pyinstaller Sai Vi rút Trojan dương tính [ĐÃ GIẢI QUYẾT] Pt1. Biên dịch thủ công Bootloader .
• 1.2 Nếu bạn vẫn gặp sự cố, hãy chuyển sang bước tiếp theo

Giả sử phần mềm chống vi-rút cục bộ của bạn đã xác định EXE của bạn là độc hại, hãy làm theo các bước trong phần mềm Chống vi-rút để báo cáo là Dương tính giả.

Đây là bước hiển nhiên và quan trọng mà bạn rất dễ bỏ qua. Gửi từ bên trong phần mềm Chống vi-rút sẽ không giải quyết được vấn đề, nhưng đó là một bước quan trọng cần thực hiện. Làm điều này sẽ cung cấp giá trị Hash duy nhất của EXE của bạn và thông tin chi tiết về môi trường mà họ sẽ có thể xác định được khi bạn giao tiếp trực tiếp với họ (xem Bước 5).

• 2.1 Mở phần mềm chống vi-rút của bạn
• 2.2 Định vị nơi bạn có thể xem lại các tệp đã được xác định là độc hại
• 2.3 Nếu có thể, hãy báo cáo EXE của bạn là không độc hại

Khi bạn gặp phải báo cáo Dương tính giả, bạn nên bắt đầu bằng cách xác định tất cả các nhà phát triển sẽ xác định EXE của bạn là vi-rút để ngăn chặn bất kỳ sự cố nào. Bạn có thể không cần hoặc không muốn báo cáo cho tất cả họ, nhưng điều quan trọng là bạn phải hiểu phạm vi của vấn đề để ngăn chặn vấn đề.

Cách dễ nhất mà tôi đã tìm thấy để làm điều này là tải tệp thực thi của bạn lên trang web VirusTotal.com .

• 3.1 Điều hướng đến virustotal.com
• 3.2 Tải lên tệp của bạn
• 3.3 Xem xét và ghi lại kết quả phát hiện

Ảnh do tác giả lấy từ VirusTotal.com

Tại thời điểm này, bạn cần phải giải thích lý do tại sao tệp thực thi của bạn không độc hại đối với các công ty Chống vi-rút đang báo cáo. Điều này có nghĩa là bạn sẽ cần viết tóm tắt về những gì tệp thực thi của bạn được thiết kế để làm và thu thập các tài nguyên liên quan để tạo trường hợp của bạn.

• 4.1 Viết ra một bản tóm tắt rất ngắn về những gì tệp thực thi của bạn thực hiện, cụ thể.
  ( Hãy viết ngắn gọn và bao gồm thông tin bạn nghĩ nên biết. )
• 4.2 Nếu bạn cảm thấy thoải mái, tôi khuyên bạn nên tạo một cách để chia sẻ mã nguồn của mình.
  (Bạn càng chia sẻ nhiều thông tin, bạn càng có nhiều khả năng nhận được kết quả tích cực. )
• 4.3 Chuẩn bị một bản sao EXE để nộp.
  ( Nếu chương trình chống vi-rút của bạn đang gắn cờ EXE, bạn có thể cần thêm một ngoại lệ. )

Các nhà phát triển phần mềm chống vi-rút chuyên nghiệp tạo ra một cách nhanh chóng và dễ dàng để các nhà phát triển phần mềm khác gửi chương trình của họ được phát hiện không chính xác là phần mềm độc hại hoặc phần mềm độc hại.

Đối với các công ty Anti-Virus lớn hơn, bạn sẽ nhận được phản hồi trong vòng vài giờ. Những phản hồi này nói chung sẽ bao gồm một phân tích cùng với các kỳ vọng và các hành động tiềm năng mà bạn có thể thực hiện để giải quyết vấn đề là cần thiết.

Ở phần cuối của câu chuyện này, tôi đã tập hợp một bộ sưu tập các Liên kết Trực tiếp đến một số công ty Chống Virus phổ biến nhất mà tôi có thể tìm thấy.

• 5.1 Xác định công ty chống vi-rút mà bạn sẽ báo cáo.
  ( Điều này dựa trên kết quả VirusTotal.com của bạn và nhu cầu riêng của bạn. Tôi khuyên bạn nên mở kết quả Tổng số Virus của mình cho đến khi bạn hoàn thành việc gửi của mình. )
• 5.2 Thực hiện theo các bước mà mỗi công ty Chống vi-rút yêu cầu
  (Bạn càng cung cấp nhiều thông tin, bạn càng có nhiều khả năng nhận được phản hồi tích cực. )
• 5.3 Chờ họ thêm giá trị Hash của EXE vào định nghĩa của họ hoặc cung cấp cho bạn phản hồi về những gì bạn có thể làm khác.
  ( Họ sẽ yêu cầu thay đổi hoặc cập nhật định nghĩa phần mềm Chống vi rút của họ bằng Hash duy nhất của EXE đã gửi. )

Nếu bạn đang tạo một tệp thực thi đang bị gắn cờ là vi-rút, bạn nên chuẩn bị gửi lại EXE của mình để xác minh mỗi khi bạn biên dịch lại nó. Điều này là do mỗi khi bạn biên dịch lại EXE, nó sẽ được cung cấp một giá trị HASH mới.

• 6.1 Nếu bạn định gửi lại mọi lần, hãy tự giúp mình và ghi lại các bước để đảm bảo nó nhất quán và nhanh chóng mỗi lần.
  ( Công ty chống vi-rút chính mà tôi gửi đến là Windows Defender và tôi chỉ mất chưa đến 10 phút mỗi lần gửi và tôi sẽ nhận được giải pháp trong vòng vài giờ mỗi lần. )

Tương tự như Bước 5, điều này sẽ giúp bạn tiết kiệm thời gian. Nếu bạn thường xuyên thực hiện nhiều thay đổi đối với EXE của mình, bạn sẽ mất rất nhiều thời gian để gửi lại EXE mới được biên dịch của mình.

8. Các công ty phát triển chuyên nghiệp Nhận phần mềm của họ được ký số

Nếu bạn đang phát triển một chương trình yêu cầu bạn thường xuyên biên dịch lại tệp thực thi của mình và / hoặc cơ sở khách hàng của bạn đang sử dụng một số lượng lớn các giải pháp phần mềm Chống vi-rút, bạn nên cân nhắc việc ký số phần mềm của mình.

Điều này sẽ cho phép bạn xây dựng danh tiếng cho phần mềm của mình và theo thời gian các tệp thực thi của bạn sẽ không còn bị gắn cờ là Sai-Tích cực nữa. Tất nhiên, đây là giả sử bạn không phát triển một chương trình độc hại và người dùng của bạn không báo cáo EXE của bạn là độc hại.

(Trong phần tiếp theo của loạt bài của tôi, tôi sẽ trình bày sâu hơn về chủ đề này.)

9. Dưới đây là tập hợp các liên kết

CẢNH BÁO | Hãy chắc chắn rằng bạn đang gửi một khẳng định sai

Các trang web sau thường được sử dụng để báo cáo các tệp độc hại không bị gắn cờ cùng với Khẳng định Sai.

• Avast
  https://www.avast.com/false-positive-file-form.php
• Avira
  https://www.avira.com/en/analysis/submit?utm_source=CS&utm_medium=KB
• AVG
  https://www.avg.com/en-us/false-positive-file-form
• Bitdefender https://www.bitdefender.com/consumer/support/answer/40673/
• ClamAV
  https://www.clamav.net/reports/fp
• Comodo
  https://www.comodo.com/home/internet-security/submit.php
• Dr Web
  https://vms.drweb.com/sendvirus/?lng=en
• F-Secure
  https://www.f-secure.com/en/business/support-and-downloads/submit-a-sample
• Malwarebytes
  https://forums.malwarebytes.com/forum/42-file-detections/
• Norton
  https://submit.norton.com/?type=FP
• Sangfor
  https://sec.sangfor.com.cn/user_feedback?lang=EN-US
• Sophos
  https://support.sophos.com/support/s/filesubmission?language=en_US
• Symantec
  https://symsubmit.symantec.com/
• Bộ bảo vệ Windows
  https://www.microsoft.com/en-us/wdsi/filesubmission
• McAfee
  Đối với McAfee, bạn sẽ cần gửi email tới [emailprotected] với Dòng chủ đề bắt đầu là FALSE

Hướng dẫn này có phù hợp với bạn không? Bạn có vấn đề? Bạn có câu hỏi nào không? Tôi muốn nghe phản hồi của bạn theo cách nào đó.

Cảm ơn vì đã dành thời gian đọc!

Nội dung khác tại plainenglish.io