我一年多前製作了這個備份程式。以前從未將其檢測為威脅。今天早上,當它試圖做它一貫做的事情時,Windows Defender 隔離了它,稱其為嚴重威脅“Trojan:Win32/Bearfoos.A!ml”
它使用我自己編寫的兩個 DLL,其中一個執行遞歸搜索,另一個執行文件讀取/寫入。基本上,我的 .exe 讀取其配置文件,如果出現問題則覆蓋它,然後使用加載的資訊啟動遞歸搜索,然後將這些文件複製/壓縮(使用 7za.exe)到多個驅動器中。
它也是 Pinvoking kernel32 (GetConsoleWindow) 和 user32.dll (ShowWindow),因為它是一個控制台應用程式。
我確信我可以將其添加到例外中,還有另一個關於 Avast 的線程,關於建議它的非常相似的事情。我只是想知道為什麼?為什麼現在?為什麼是熊富斯?為什麼 Windows Defender 無法偵測到我自己編寫了該程式?為什麼 Windows Defender 無法意識到它只是在我自己的本機磁碟機周圍複製檔案?我甚至自己將其添加到 Windows 任務計劃程式中,Windows Defender 還需要多少綠旗! ?
我想這是大多數程式都會做的事情,複製和讀取文件。
答案1
我會選擇 Ramhound 的評論作為答案:“您需要向 Microsoft 報告誤報,除非您報告誤報,否則 Windows Defender 將繼續將其檢測為惡意”
我昨天向微軟提交了文件,他們今天回覆了。他們已經刪除了檢測,並給了我清除舊定義並更新到新定義的步驟。
感謝大家的意見,即使是那些被否決的人。這是一個幫助我了解為什麼我的程式被檢測為潛在惡意軟體的頁面。 https://docs.microsoft.com/en-us/windows/security/threat-protection/intelligence/criteria
答案2
如果您 100% 確定它是安全的,請將其新增為 Windows Defender 的排除項。
答案3
為什麼現在才開始發生這種情況? Windows Defender 最近的更新可能導致它改變了對你的程式的行為。惡意軟體的檢測很困難,而且該過程並非100%可靠。錯誤是會犯的。有時惡意軟體未被偵測到,有時合法軟體被錯誤地識別為惡意軟體。
Windows Defender 不會嘗試確定程式是否是您編寫的,從而授予它特殊權限。那將會是一個非常糟糕的主意。程式設計師不相信他們有能力足夠可靠地做到這一點。如果存在這樣的設施,它將為惡意軟體提供另一種逃避檢測的潛在方法。 Windows Defender 無法像您一樣全面了解程式。它只能檢查其檔案中是否存在已知惡意軟體的模式並監控其活動。它在做所有這一切的時候都知道事情可能不像看起來的那樣。現代惡意軟體非常複雜,並且有很多技巧,因此它會以不同的方式出現。惡意軟體不斷改進其逃避檢測的方法,安全軟體也必須改進其檢測方法。
大多數安全軟體都有某種排除清單。但即便如此,這也不像看起來那麼簡單。它必須非常小心地管理,否則惡意軟體就會將自己添加到清單中。惡意軟體作者研究 Windows Defender 和其他安全產品,總是尋找他們可能利用的一些弱點。