我们使用GpSysHook 在我们的软件中记录键盘和鼠标事件。不幸的是,一些反病毒程序将hook dll检测为病毒,VirusTotal可以很容易地证明这一点。 有没有人有想法如何更改DLL,以便它不再被检测为病毒? 我已经尝试用upx打包而没有成功。
更新: 按照@David和@ Shamballa的建议,我联系了迈克菲。到目前为止,唯一的回复是自动回复邮件,告诉我GpSysHookDll.dll确实是恶意软件,并且他们在其签名数据库中拥有它。显然没有人真正看过我的邮件。 所以我不得不自己做些什么,事实上经过一些小的改动后,McAfee不再怀疑GpSysHookDll是恶意软件。我从未想过愚弄病毒扫描程序是多么容易。我不想在这里给出答案的原因是因为它可能最终帮助坏人开发讨厌的软件(虽然我认为他们现在已经是那些简单的技巧)。我宁愿联系原作者我的更改,以便他可以更新他的优秀钩子组件。
答案 0 :(得分:0)
Virusscanners使用签名工作 通常使用一个程序或dll的哈希(全部或部分)。 然后将哈希与病毒软件中的哈希表进行比较。
简单更改将更改哈希并禁用警告。
尽管AntiVirus生产商的营销声称,但Virusscan技术已经停滞了很多年。
没有启发式扫描等......
如果你翻转一些东西以便Delphi生成不同的代码,你的哈希值就会改变,匹配就会消失。