无忧启动论坛

标题: PECMD X86 & X64 V4.0.2011.0501版诺顿2011报毒 [打印本页]

作者: hqsnet 时间: 2011-5-11 15:13
标题: PECMD X86 & X64 V4.0.2011.0501版诺顿2011报毒
虽然知道没事。但还是看看哪里触发报毒的改进下比较好

作者: ziyun 时间: 2011-5-11 20:51
如果是在这论坛下载的，你只能二选一呗，

作者: lxl1638 时间: 2011-5-11 21:21
如果杀毒软件扫描PECMD时，报出病毒在3个以下或报不出病毒的，那这样的杀毒软件就是弱智；
如果杀毒软件扫描PECMD时，报PECMD.EXE是病毒木马的，那这样的杀毒软件也是弱智；
很矛盾吧？PECMD.EXE使用了一般病毒木马所使用到的Windows API，但PECMD没有干
病毒木马所干的事。一个文件是否是病毒木马，不能单用杀毒工具来衡量，关键是看这个
文件加载后是否干病毒木马所干的事。

以下是本人在老外一处论坛上对PECMD这方面问题所作的说明(本人英文很烂，这是半中半英的说明)：

Because PECMD.EXE use the following Windows API function:
VirtualAllocEx
CreateRemoteThread
WriteProcessMemory
SetWindowsHookEx
RegisterDeviceNotification
......

The first three API functions are used to write the process of Explorer.EXE code
and Hook the API ExitWindowsEx function, so that shutdown/restart from [Start Menu];

SetWindowsHookEx function is used to install low-level keyboard hook,
and take over the Ctrl + Alt + Del to start TaskMgr.EXE.

RegisterDeviceNotification function is used to monitor the USB disk Insert/Eject,
Distribution Disk Volume for USB disk, USB disk to achieve plug and play.

Therefore,some anti-virus tools say PECMD.EXE is virus.

蓝色那个API会被杀毒软件认为是盗号木马，红色那个会API会被认为是触发式扫描。
RegisterDeviceNotification是移动硬盘即插即用所需的API，收到磁盘发生变化的信息后，
扫描磁盘驱动器，为移动硬盘分配盘符。这个不是改进不改进的问题，要有这样的功能，
必定要用到这个API，杀毒工具必定报触发式扫描。

[ 本帖最后由 lxl1638 于 2011-5-11 21:31 编辑 ]

作者: hqsnet 时间: 2011-5-11 22:41
我也大概猜测是这么回事，报的也是启发式检测的，启发就是可以干坏事，但没干，哈哈。只是准备YY个送人，怕警报挺闹心的。

[ 本帖最后由 hqsnet 于 2011-5-11 22:44 编辑 ]

作者: 2011xuzhaori 时间: 2011-5-11 23:39
我开机下载资料，早晨起来，一看诺顿报了几十个病毒程序...........
都是我的软件盘里面的。估计都是破解补丁......................................

作者: king6420 时间: 2011-5-11 23:50
用诺顿的要做好心里准备，他会在你不动电脑的时候自动扫描电脑，然后清除可疑文件。我有一次就是因为他，把我很多压缩包里的Keygen都给删了，而且是在压缩包内操作，搞的哥有些压缩包都坏了，因为压缩包很大，日，从此再也没用Norton。

欢迎光临无忧启动论坛 (http://bbs.wuyou.net/)