论坛 › 『 提问交流 』 › 拷贝并加入启动被认为是木马行为

jjlau 发表于 2011-7-5 17:34:48

拷贝并加入启动被认为是木马行为

程序在运行后检查启动目录，如果没有自己，则拷贝一份过去，这一行为被KAV认为是典型的木马行为，有没有办法避免让杀毒软件警报？

jjlau 发表于 2011-7-5 18:03:46

就是这句
filecopy(@ScriptFullPath,@StartupCommonDir,1)

ye5022 发表于 2011-7-5 19:47:04

就算你手动复制一个快捷方式到开机启动处KAV也会报警的！！

chenronting 发表于 2011-7-5 20:52:31

靠，这么NB
那说明咩挑战了！完全封杀！

xwt620 发表于 2011-7-5 21:36:31

国产的杀毒器，真的怕怕~
还是换国外的吧

sunafter 发表于 2011-7-5 22:44:10

国产的杀毒器，真的怕怕~
还是换国外的吧
xwt620 发表于 2011-7-5 21:36 http://www.autoitx.com/images/common/back.gif


你在本帖哪里看到国产杀毒器出现了？
鄙视一切崇洋媚外的家伙，任何一款杀毒软件都是心理安慰作用，不要以为用上洋人的杀软你电脑就安全了

haorui658 发表于 2011-7-6 17:56:47

回复 6# sunafter


    呵呵, 国产有好杀软的, 不过平均国外的是比国内的要好, 这不是崇洋媚外, 是事实

happytc 发表于 2011-7-6 22:25:06

回复 7# haorui658


    国产的真的有好杀软？那个，真的没有感觉有那个
不要说360那种带着神奇的文件名杀毒法的

haorui658 发表于 2011-7-7 13:17:06

回复 8# happytc


    360? 算了吧, 360杀毒做的实在不怎么样, 江民辉煌过, 现在也落伍了, 微点还可以, 防御可以,其他的国内杀软实在不推荐, 顺便说下MSE不错

chinafla 发表于 2011-7-7 17:17:41

哈哈 文件名杀毒法

powerofos 发表于 2011-7-8 22:03:44

如果是让你自己的程序实现开机自启动，可以参考buttonbar的写法，

我拷贝他的写法出来你参考下：
Case $msg = $StartupM
                        If $TrSUp= 0 Then
                                RegWrite("HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run", 'ButtonBar_azjio', "REG_SZ", '"'&@ScriptFullPath&'"')
                                GUICtrlSetState($StartupM, 1)
                                $TrSUp=1
                        Else
                                RegDelete("HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run", 'ButtonBar_azjio')
                                GUICtrlSetState($StartupM, 4)
                                $TrSUp=0
                        EndIf

我用的是kis2012，没问题

喀喇喀喇 发表于 2011-7-9 10:50:32

杀软报毒是个问题......不知有没有好的解决办法

jjlau 发表于 2011-7-12 14:28:28

基本无解，这个行为就是解释成典型木马行为，除非不这样做才行

都市浪子666 发表于 2011-7-12 17:55:38

很多软件都会封杀的，像那些山流0也会封的

查看完整版本: 拷贝并加入启动被认为是木马行为