拷贝并加入启动被认为是木马行为

jjlau

程序在运行后检查启动目录，如果没有自己，则拷贝一份过去，这一行为被KAV认为是典型的木马行为，有没有办法避免让杀毒软件警报？

jjlau

就是这句
filecopy(@ScriptFullPath,@StartupCommonDir,1)

ye5022

就算你手动复制一个快捷方式到开机启动处KAV也会报警的！！

chenronting

靠，这么NB
那说明咩挑战了！完全封杀！

xwt620

国产的杀毒器，真的怕怕~
还是换国外的吧

sunafter

国产的杀毒器，真的怕怕~
还是换国外的吧
xwt620 发表于 2011-7-5 21:36

你在本帖哪里看到国产杀毒器出现了？
鄙视一切崇洋媚外的家伙，任何一款杀毒软件都是心理安慰作用，不要以为用上洋人的杀软你电脑就安全了

haorui658

回复 6# sunafter


    呵呵, 国产有好杀软的, 不过平均国外的是比国内的要好, 这不是崇洋媚外, 是事实

happytc

回复 7# haorui658


    国产的真的有好杀软？那个，真的没有感觉有那个
不要说360那种带着神奇的文件名杀毒法的

haorui658

回复 8# happytc


    360? 算了吧, 360杀毒做的实在不怎么样, 江民辉煌过, 现在也落伍了, 微点还可以, 防御可以,其他的国内杀软实在不推荐, 顺便说下MSE不错

chinafla

哈哈 文件名杀毒法

powerofos

如果是让你自己的程序实现开机自启动，可以参考buttonbar的写法，

我拷贝他的写法出来你参考下：
Case $msg = $StartupM
                        If $TrSUp= 0 Then
                                RegWrite("HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run", 'ButtonBar_azjio', "REG_SZ", '"'&@ScriptFullPath&'"')
                                GUICtrlSetState($StartupM, 1)
                                $TrSUp=1
                        Else
                                RegDelete("HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run", 'ButtonBar_azjio')
                                GUICtrlSetState($StartupM, 4)
                                $TrSUp=0
                        EndIf

我用的是kis2012，没问题

喀喇喀喇

杀软报毒是个问题......不知有没有好的解决办法

jjlau

基本无解，这个行为就是解释成典型木马行为，除非不这样做才行

都市浪子666

很多软件都会封杀的，像那些山流0  也会封的