360，你还能再错杀的过分点吗？-茶余饭后-看雪-安全社区|安全招聘|kanxue.com

360，你还能再错杀的过分点吗？

2011-11-5 16:58 4158

360，你还能再错杀的过分点吗？

still

2011-11-5 16:58

4158

今天写了个小程序，编译完成后一打开360突然报毒，我实在无语，只是扫描进程的一个小程序，注意，只是扫描，没有对任何进程进行操作，连一个OpenProcess函数都没用到。觉得很蹊跷怎么会这样？之后随手编译了一个什么都没有的程序，360居然也报毒，我实在无语了，大家可以试试下面这段代码，我认为以下代码甚至都不能算代码，用VC6.0编译，编译成Release版本，然后打开程序或者用360扫描，360绝对会杀！（注意：现在是2011年11月5日，也许360官方人员看到这帖子会做改动）

#pragma comment(linker, "/OPT:NOWIN98")
#pragma comment(linker, "/subsystem:windows")
#pragma comment(linker, "/ENTRY:main")

void main()
{
	
}

上面这段代码编译成Release版本后差不多只有1K大小

BTW：我发现很多人想法很白痴，总说什么错杀乱杀你就别用，但是我发这个帖子的重点不是我用不用，说实在的我完全可以不用它，甚至不用任何杀毒软件，我相信在这个论坛里的大部分人都有不用杀软也能安全使用电脑、上网的能力，但是我不能决定我写出来的程序别人不用360。如果我写一个正常的程序给我的用户使用，他们一用就被360误杀，而且用户中有很多小白不知道是怎么回事，还以为我的程序真的有病毒导致他们以后对我公司有了抵制心理，这样的包袱谁背的下？我想在这个论坛里大部分都是做软件行业的，都明白杀毒软件对程序的误杀造成了多大的伤害，尤其是对小软件公司，或者公司用户群比较特殊的。那些嚷嚷着“有本事别用，卸了他”的人，你们能成熟点吗？

[培训]《安卓高级研修班(网课)》月薪三万计划，掌握调试、分析还原ollvm、vmp的方法，定制art虚拟机自动化脱壳的方法

收藏・0

点赞・0

打赏

最新回复 (28) 1 2 ▶
tfzxyinhao 雪币： 306 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 180 粉丝 0 关注私信	tfzxyinhao 2011-11-5 17:28 2 楼 0 目前我国的国情就是这样，没办法。
达文西雪币： 1632 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 1328 粉丝 0 关注私信	达文西 2011-11-5 17:31 3 楼 0 得小白者得天下，此乃周鸿祎成功之道。
iceway 雪币： 19 活跃值： (1056) 能力值： ( LV2，RANK：10 ) 在线值：发帖 88 回帖 811 粉丝 5 关注私信	iceway 2011-11-5 17:37 4 楼 0 周鸿祎就是这样，你吹啊？
pc小波雪币： 118 活跃值： (106) 能力值： ( LV6，RANK：90 ) 在线值：发帖 76 回帖 468 粉丝 0 关注私信	pc小波 1 2011-11-5 17:59 5 楼 0 错杀也比某某军团那样无作为的好啊！
yamidie 雪币： 198 活跃值： (103) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 123 粉丝 0 关注私信	yamidie 2011-11-5 18:20 6 楼 0 谁要你用了代码优化的你想吧程序体积变小病毒作者都用#pragma comment(linker, "/OPT:NOWIN98") 所以你的必须杀谁要你用了 3X0就这么牛逼！以后只要是EXE DLL SYS等结尾的PE文件如果没有签名都要被杀！
yamidie 雪币： 198 活跃值： (103) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 123 粉丝 0 关注私信	yamidie 2011-11-5 18:25 7 楼 0 以后PE文件不交钱认证360卫士就报QVM7 网站不交钱认证就报她妈不受信的网站可能被挂马
达文西雪币： 1632 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 1328 粉丝 0 关注私信	达文西 2011-11-5 18:27 8 楼 0 谁要你用了编程语言的病毒作者都用编程语言写程序的。
yamidie 雪币： 198 活跃值： (103) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 123 粉丝 0 关注私信	yamidie 2011-11-5 18:33 9 楼 0 谁要你用3X0了有本事卸载就不杀了！
淡定是罪雪币： 2503 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 600 粉丝 0 关注私信	淡定是罪 2011-11-5 19:39 10 楼 0 呵呵！！！！看看溜达溜达
still 雪币： 263 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 128 粉丝 0 关注私信	still 2011-11-5 19:40 11 楼 0 呵呵，难道优化下PE文件，让文件更小更轻巧也是一种错误吗？也要被杀吗？360太不讲理了吧
龙丶舞雪币： 200 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 31 粉丝 0 关注私信	龙丶舞 2011-11-5 19:52 12 楼 0 哄人的玩意！！
chenchuai 雪币： 434 活跃值： (67) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 101 粉丝 0 关注私信	chenchuai 2011-11-5 21:47 13 楼 0 错杀了无所谓，别漏杀了！但专业场合这样不行，估计也没有用360的！
chenchuai 雪币： 434 活跃值： (67) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 101 粉丝 0 关注私信	chenchuai 2011-11-5 21:48 14 楼 0 这和360的市场定位有关系！
cntrump 雪币： 1708 活跃值： (586) 能力值： ( LV15，RANK：670 ) 在线值：发帖 204 回帖 2062 粉丝 17 关注私信	cntrump 13 2011-11-5 22:01 15 楼 0 自己觉得它不好，就不要用吧。默默把它卸载再选择其他的杀软就行了。淡定。
shuax 雪币： 1410 活跃值： (1285) 能力值： ( LV12，RANK：212 ) 在线值：发帖 12 回帖 246 粉丝 6 关注私信	shuax 2 2011-11-5 22:09 16 楼 0 楼上十分正确，谁让你装360的，谁装谁蛋疼。
QEver 雪币： 233 活跃值： (285) 能力值： ( LV12，RANK：270 ) 在线值：发帖 32 回帖 581 粉丝 4 关注私信	QEver 5 2011-11-5 22:09 17 楼 0 为什么总是见到这种蛋疼的帖子~~~自己感觉不好就不要用啊，用着别人免费提供的服务，还要返过去咬别人一口，做人不能这样。
willapple 雪币： 6700 活跃值： (775) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 145 粉丝 0 关注私信	willapple 2011-11-5 22:14 18 楼 0 其实毕竟是软件啊，它只是个工具啊，很多时候误杀也是在所难免的啊！
cherryEx 雪币： 124 活跃值： (27) 能力值： ( LV5，RANK：60 ) 在线值：发帖 11 回帖 195 粉丝 0 关注私信	cherryEx 1 2011-11-5 22:15 19 楼 0 （注意：现在是2011年11月5日，也许360官方人员看到这帖子会做改动）我看是不会改动的。。。。一直杀！
达文西雪币： 1632 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 1328 粉丝 0 关注私信	达文西 2011-11-6 07:42 20 楼 0 我才没用3XX，可是用软件的人装了3XX，我有本事卸载自己的不杀了就解决了？你明白问题所在了没？为什么判断病毒不从程序本身行为判断，而从用了某些病毒常使用的语句就判断是病毒？为什么在同等情况下像KABA\NOD32这些就不误报，3xx叫得这么起劲？误杀率已经明显高于其他杀软了，不去正视问题，难道误杀率排在世界前列还有理了？！
still 雪币： 263 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 128 粉丝 0 关注私信	still 2011-11-6 09:28 21 楼 0 说的没错，我发现很多人想法很白痴，总说什么错杀乱杀你就别用，但是我发这个帖子的重点不是我用不用，说实在的我完全可以不用它，甚至不用任何杀毒软件，我相信在这个论坛里的大部分人都有不用杀软也能安全使用电脑、上网的能力，但是我不能决定我写出来的程序别人不用360。如果我写一个正常的程序给我的用户使用，他们一用就被360误杀，而且用户中有很多小白不知道是怎么回事，还以为我的程序真的有病毒导致他们以后对我公司有了抵制心理，这样的包袱谁背的下？我想在这个论坛里大部分都是做软件行业的，都明白杀毒软件对程序的误杀造成了多大的伤害，尤其是对小软件公司，或者公司用户群比较特殊的。那些嚷嚷着“有本事别用，卸了他”的人，你们能成熟点吗？
chenchuai 雪币： 434 活跃值： (67) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 101 粉丝 0 关注私信	chenchuai 2011-11-6 09:38 22 楼 0 亲爱的楼主啊，360等着你和他联系呢？
still 雪币： 263 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 128 粉丝 0 关注私信	still 2011-11-6 10:05 23 楼 0 好好测试了下，发现问题根本不是在#pragma comment(linker, "/OPT:NOWIN98")，而是你文件如果较小，而且导入表里函数不多，或者导入表没有函数以及有敏感函数，他就会杀，当然这只是错杀的其中一方面，还有更多细节的方面，我在这里就不多说了，总之规则很多，而且很大一部分都是无厘头的判断病毒方法导致了错杀。但是我发现360的PE深度扫描分析做得很好，即使你程序有危害代码放到程序里不运行，360也能检测到，而且行为特征会提交到云端判断决定是否查杀。就事论事360的客户端方面做得确实不错，把程序行为提交到云端判断，很多程序主要是云端判断杀不杀，所以改动也方便，只要在云端改变下查杀规则就可以了，客户端根本不改动。这也能随时观察病毒走势，可以依据流行的走势来重新改变云端规则来遏制病毒传播扩大，但是制定查杀规则的人千万不能是猪头，否则就像现在这样错杀严重。
白玉箫雪币： 351 活跃值： (22) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 197 粉丝 0 关注私信	白玉箫 2011-11-6 10:17 24 楼 0 围观口水战。
mstwugui 雪币： 503 活跃值： (80) 能力值： (RANK：280 ) 在线值：发帖 44 回帖 866 粉丝 4 关注私信	mstwugui 6 2011-11-6 17:43 25 楼 0 呵呵，千万不要歧视猪啊，猪可不笨哈
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

still

发帖

128

回帖

RANK

关注

私信

他的文章

[求助]OD加载总出现这个错误，WIN7的64位下，请问有没有哪位大牛遇到过？

360，你还能再错杀的过分点吗？

[求助]failwest第二版什么时候出？到底出不出了？

[讨论][求助]数据节的SizeOfRawData为什么不按套路出牌

[讨论][求助]高手进，关于......说不清楚

关于我们

联系我们

企业服务

看雪公众号

最新回复 (28) 1 2 ▶
tfzxyinhao 雪币： 306 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 180 粉丝 0 关注私信	tfzxyinhao 2011-11-5 17:28 2 楼 0 目前我国的国情就是这样，没办法。
达文西雪币： 1632 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 1328 粉丝 0 关注私信	达文西 2011-11-5 17:31 3 楼 0 得小白者得天下，此乃周鸿祎成功之道。
iceway 雪币： 19 活跃值： (1056) 能力值： ( LV2，RANK：10 ) 在线值：发帖 88 回帖 811 粉丝 5 关注私信	iceway 2011-11-5 17:37 4 楼 0 周鸿祎就是这样，你吹啊？
pc小波雪币： 118 活跃值： (106) 能力值： ( LV6，RANK：90 ) 在线值：发帖 76 回帖 468 粉丝 0 关注私信	pc小波 1 2011-11-5 17:59 5 楼 0 错杀也比某某军团那样无作为的好啊！
yamidie 雪币： 198 活跃值： (103) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 123 粉丝 0 关注私信	yamidie 2011-11-5 18:20 6 楼 0 谁要你用了代码优化的你想吧程序体积变小病毒作者都用#pragma comment(linker, "/OPT:NOWIN98") 所以你的必须杀谁要你用了 3X0就这么牛逼！以后只要是EXE DLL SYS等结尾的PE文件如果没有签名都要被杀！
yamidie 雪币： 198 活跃值： (103) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 123 粉丝 0 关注私信	yamidie 2011-11-5 18:25 7 楼 0 以后PE文件不交钱认证360卫士就报QVM7 网站不交钱认证就报她妈不受信的网站可能被挂马
达文西雪币： 1632 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 1328 粉丝 0 关注私信	达文西 2011-11-5 18:27 8 楼 0 谁要你用了编程语言的病毒作者都用编程语言写程序的。
yamidie 雪币： 198 活跃值： (103) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 123 粉丝 0 关注私信	yamidie 2011-11-5 18:33 9 楼 0 谁要你用3X0了有本事卸载就不杀了！
淡定是罪雪币： 2503 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 600 粉丝 0 关注私信	淡定是罪 2011-11-5 19:39 10 楼 0 呵呵！！！！看看溜达溜达
still 雪币： 263 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 128 粉丝 0 关注私信	still 2011-11-5 19:40 11 楼 0 呵呵，难道优化下PE文件，让文件更小更轻巧也是一种错误吗？也要被杀吗？360太不讲理了吧
龙丶舞雪币： 200 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 31 粉丝 0 关注私信	龙丶舞 2011-11-5 19:52 12 楼 0 哄人的玩意！！
chenchuai 雪币： 434 活跃值： (67) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 101 粉丝 0 关注私信	chenchuai 2011-11-5 21:47 13 楼 0 错杀了无所谓，别漏杀了！但专业场合这样不行，估计也没有用360的！
chenchuai 雪币： 434 活跃值： (67) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 101 粉丝 0 关注私信	chenchuai 2011-11-5 21:48 14 楼 0 这和360的市场定位有关系！
cntrump 雪币： 1708 活跃值： (586) 能力值： ( LV15，RANK：670 ) 在线值：发帖 204 回帖 2062 粉丝 17 关注私信	cntrump 13 2011-11-5 22:01 15 楼 0 自己觉得它不好，就不要用吧。默默把它卸载再选择其他的杀软就行了。淡定。
shuax 雪币： 1410 活跃值： (1285) 能力值： ( LV12，RANK：212 ) 在线值：发帖 12 回帖 246 粉丝 6 关注私信	shuax 2 2011-11-5 22:09 16 楼 0 楼上十分正确，谁让你装360的，谁装谁蛋疼。
QEver 雪币： 233 活跃值： (285) 能力值： ( LV12，RANK：270 ) 在线值：发帖 32 回帖 581 粉丝 4 关注私信	QEver 5 2011-11-5 22:09 17 楼 0 为什么总是见到这种蛋疼的帖子~~~自己感觉不好就不要用啊，用着别人免费提供的服务，还要返过去咬别人一口，做人不能这样。
willapple 雪币： 6700 活跃值： (775) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 145 粉丝 0 关注私信	willapple 2011-11-5 22:14 18 楼 0 其实毕竟是软件啊，它只是个工具啊，很多时候误杀也是在所难免的啊！
cherryEx 雪币： 124 活跃值： (27) 能力值： ( LV5，RANK：60 ) 在线值：发帖 11 回帖 195 粉丝 0 关注私信	cherryEx 1 2011-11-5 22:15 19 楼 0 （注意：现在是2011年11月5日，也许360官方人员看到这帖子会做改动）我看是不会改动的。。。。一直杀！
达文西雪币： 1632 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 1328 粉丝 0 关注私信	达文西 2011-11-6 07:42 20 楼 0 我才没用3XX，可是用软件的人装了3XX，我有本事卸载自己的不杀了就解决了？你明白问题所在了没？为什么判断病毒不从程序本身行为判断，而从用了某些病毒常使用的语句就判断是病毒？为什么在同等情况下像KABA\NOD32这些就不误报，3xx叫得这么起劲？误杀率已经明显高于其他杀软了，不去正视问题，难道误杀率排在世界前列还有理了？！
still 雪币： 263 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 128 粉丝 0 关注私信	still 2011-11-6 09:28 21 楼 0 说的没错，我发现很多人想法很白痴，总说什么错杀乱杀你就别用，但是我发这个帖子的重点不是我用不用，说实在的我完全可以不用它，甚至不用任何杀毒软件，我相信在这个论坛里的大部分人都有不用杀软也能安全使用电脑、上网的能力，但是我不能决定我写出来的程序别人不用360。如果我写一个正常的程序给我的用户使用，他们一用就被360误杀，而且用户中有很多小白不知道是怎么回事，还以为我的程序真的有病毒导致他们以后对我公司有了抵制心理，这样的包袱谁背的下？我想在这个论坛里大部分都是做软件行业的，都明白杀毒软件对程序的误杀造成了多大的伤害，尤其是对小软件公司，或者公司用户群比较特殊的。那些嚷嚷着“有本事别用，卸了他”的人，你们能成熟点吗？
chenchuai 雪币： 434 活跃值： (67) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 101 粉丝 0 关注私信	chenchuai 2011-11-6 09:38 22 楼 0 亲爱的楼主啊，360等着你和他联系呢？
still 雪币： 263 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 128 粉丝 0 关注私信	still 2011-11-6 10:05 23 楼 0 好好测试了下，发现问题根本不是在#pragma comment(linker, "/OPT:NOWIN98")，而是你文件如果较小，而且导入表里函数不多，或者导入表没有函数以及有敏感函数，他就会杀，当然这只是错杀的其中一方面，还有更多细节的方面，我在这里就不多说了，总之规则很多，而且很大一部分都是无厘头的判断病毒方法导致了错杀。但是我发现360的PE深度扫描分析做得很好，即使你程序有危害代码放到程序里不运行，360也能检测到，而且行为特征会提交到云端判断决定是否查杀。就事论事360的客户端方面做得确实不错，把程序行为提交到云端判断，很多程序主要是云端判断杀不杀，所以改动也方便，只要在云端改变下查杀规则就可以了，客户端根本不改动。这也能随时观察病毒走势，可以依据流行的走势来重新改变云端规则来遏制病毒传播扩大，但是制定查杀规则的人千万不能是猪头，否则就像现在这样错杀严重。
白玉箫雪币： 351 活跃值： (22) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 197 粉丝 0 关注私信	白玉箫 2011-11-6 10:17 24 楼 0 围观口水战。
mstwugui 雪币： 503 活跃值： (80) 能力值： (RANK：280 ) 在线值：发帖 44 回帖 866 粉丝 4 关注私信	mstwugui 6 2011-11-6 17:43 25 楼 0 呵呵，千万不要歧视猪啊，猪可不笨哈
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复