一个简单的串口通信软件被认为是病毒，如何处理？

zxq6

公司给客户开发了一套设备。客户让做一个小工具用来配置设备参数。
小工具跟设备采用的是串口通信，基于VS2019，.net Framework 3.5进行开发。
主要功能就是串口读写，本地文件读取存储，图表生成和显示，参数读取和存储。
发给客户后，说被他们公司的安全软件认为是木马，不能接受。
问客户，安全软件是什么，客户答：这是他们自行开发的软件，名字机密，不能告诉我。
又问客户，有没有具体的提示信息，客户答：软件认为是木马，就删除了。
我确认代码里面没有任何主动植入的木马行为。
没招了，遇到这种情况怎么办？

unifax001

白嫖了呗

autolog

把串口工具安装到另一个工控机，再把工控机卖给这个客户

kokoc_power

autolog 发表于 2024-4-18 10:18
把串口工具安装到另一个工控机，再把工控机卖给这个客户
(引用自3楼)

又可以开心赚个几万块。这主意好。

myiccdream

这不是应该让你们销售先上？

PPS

估计是360，安装个360测试一下。

zxq6

PPS 发表于 2024-4-18 10:36
估计是360，安装个360测试一下。
(引用自6楼)

刚刚测试了，确实是360要报木马。而火绒，微软的杀毒软件均未报。
这种情况应该如何处理呢？从代码里面一行一行的查吗？

zxq6

unifax001 发表于 2024-4-18 10:12
白嫖了呗
(引用自2楼)

也不是，客户不差钱，上市公司。

zxq6

autolog 发表于 2024-4-18 10:18
把串口工具安装到另一个工控机，再把工控机卖给这个客户
(引用自3楼)

这是好主意，可惜目前不能这么干。

zxq6

myiccdream 发表于 2024-4-18 10:34
这不是应该让你们销售先上？
(引用自5楼)

销售已经没招了，才让技术人员上的。

kinoko

在 https://www.virscan.org/ 扫一下看看是谁误报

Himem

买个代码签名证书，交完保护费就不报了

kebaojun305

360  还有微软自带的 很多 误杀的   我就是安装火绒 就没事了

PPS

zxq6 发表于 2024-4-18 10:43
刚刚测试了，确实是360要报木马。而火绒，微软的杀毒软件均未报。
这种情况应该如何处理呢？从代码里面一 ...
(引用自7楼)

流氓做出来的东西嘛，好像是要给交保护费，受害者好像还不少。见这个：https://www.zhihu.com/question/319418473

zxq6

kinoko 发表于 2024-4-18 10:45
在 https://www.virscan.org/ 扫一下看看是谁误报
(引用自11楼)

zxq6

Himem 发表于 2024-4-18 10:52
买个代码签名证书，交完保护费就不报了
(引用自12楼)

这个要如何操作呢，费用如何呢？

Himem

zxq6 发表于 2024-4-18 10:58
这个要如何操作呢，费用如何呢？
(引用自16楼)

太贵没试过，估计EV证书 1万RMB/年左右

360论坛也有qvm申诉区? 可以先试试

lb0857

数字家的钱先给吧   你的软件不是你做主滴

dukelec

看来我做 cdbus gui、cdpnp 等上位机软件，不打包，直接给 python 脚本，也是有好处的，客户不用担心有毒

打包的话，即便代码没有毒，万一打包的电脑有毒，生成的程序也会有有毒的风险

初音之恋

有的打包工具很容易误报，直接发送压缩包一般都没问题

foxpro2005

你是不是打包加壳了？ 有重要信息或怕被反编吗？

实在不行或者考虑弄个树莓派装上面卖给他

zxq6

foxpro2005 发表于 2024-4-18 14:36
你是不是打包加壳了？ 有重要信息或怕被反编吗？

实在不行或者考虑弄个树莓派装上面卖给他
(引用自21楼)

没有加任何壳，就是VS编译后的exe文件。

foxpro2005

.net framework 你选4.0的试一下

aleyn

zxq6 发表于 2024-4-18 10:57

(引用自15楼)

我试了一下我自己写的两个软件, 一个是Delphi写, 一个是用BC++写, 结果两个都是在第一项(F-Port)和右边的xvirus报毒.和你的情况差不多.

modbus

感觉现在的杀毒软件判断病毒的方法很简单，就是看文件中是否有一串数据和病毒的相同，所以就很容易误判，有没有知道现在杀毒软件是怎么判断病毒的

kebaojun305

我自己 QT的一个程序 gcc编译的   检测了下  F-Prot 报W32/Felix:CO:VC!Eldorado  Xvirus报Malware

zxq6

kebaojun305 发表于 2024-4-18 17:25
我自己 QT的一个程序 gcc编译的   检测了下  F-Prot 报W32/Felix:CO:VC!Eldorado  Xvirus报Malware ...
(引用自26楼)

擦，这不就有点坑了？

zxq6

aleyn 发表于 2024-4-18 16:46
我试了一下我自己写的两个软件, 一个是Delphi写, 一个是用BC++写, 结果两个都是在第一项(F-Port)和右边的 ...
(引用自24楼)

看起来似乎无法破啊？这算是杀毒软件的bug吗？还是说免疫亢奋了？

lb0857

搞嵌入式影响不大，前几年，it工程师自己工作室这类的软件，苦不堪言哦。
动不动就要几个大佬发通行证，
数字安全证书，不给吧，报病毒。

t3486784401

zxq6 发表于 2024-4-18 15:21
没有加任何壳，就是VS编译后的exe文件。
(引用自22楼)

VS 的 wizard 生成的框架里，默认有访问注册表的地方（一般在 App 那一级 class 的初始化地方），功能就是注册了应用程序名字。

可以尝试删掉。 这个在早期的 virscan 里边也经常报毒，删掉后就稳定一些。

redroof

zxq6 发表于 2024-4-18 17:44
看起来似乎无法破啊？这算是杀毒软件的bug吗？还是说免疫亢奋了？
(引用自28楼)

你自己检查360，查到了就自己退出不让运行，让客户找你把360卸了再装你的程序呗。
工控程序有一大堆需要装驱动要注册com对象之类的，用户早就熟悉了，知道带着杀毒软件就是不行。
所以杀毒软件说你在执行高危权限操作的时候，你最好确实就在执行高危操作。有本事他不用了呗。。。。
他就是得用，所以得老老实实听你的关了杀毒软件来用。

redroof

工控中常见的opc，就是个com对象，需要注册，需要管理员权限，不给就没得用。哪一家的opc都一样

zxq6

redroof 发表于 2024-4-18 18:43
你自己检查360，查到了就自己退出不让运行，让客户找你把360卸了再装你的程序呗。
工控程序有一大堆需要 ...
(引用自31楼)

擦，根本就不能运行。
文件一从rar包释放出来，或者双击运行的时候。360就发疯似的跳出来，说检测到xxx有木马。
然后就禁止运行，建议用户把该exe干掉。
我们提供的也就一个绿色软件，一个exe，最多再加一个ini文件。根本不需要安装的。
反正我把这些情况跟老总汇报了，等他们去撕。

zxq6

t3486784401 发表于 2024-4-18 18:38
VS 的 wizard 生成的框架里，默认有访问注册表的地方（一般在 App 那一级 class 的初始化地方），功能就 ...
(引用自30楼)

C++可能有类似的操作，但是C#没有找到类似的呢。
我再查找一下资料看看。谢谢啦

zxq6

lb0857 发表于 2024-4-18 18:30
搞嵌入式影响不大，前几年，it工程师自己工作室这类的软件，苦不堪言哦。
动不动就要几个大佬发通行证，
数 ...
(引用自29楼)

是不是这也是他们创收的一个手段？

foxpro2005

zxq6 发表于 2024-4-18 19:32
擦，根本就不能运行。
文件一从rar包释放出来，或者双击运行的时候。360就发疯似的跳出来，说检测到xxx有 ...
(引用自33楼)

原来你用RAR压缩包发给客户的啊，晕。。，不会是你压缩软件带来的问题吧(或者说你自己电脑上本身就有一些无关痛痒的小病毒程序。。。😂)
用7z打个压缩包发他们看看吧

zxq6

foxpro2005 发表于 2024-4-18 20:43
原来你用RAR压缩包发给客户的啊，晕。。，不会是你压缩软件带来的问题吧(或者说你自己电脑上本身就有一些 ...
(引用自36楼)

理论上也存在这种可能性。
马上安装了一个火绒，怎么扫都没问题。
但是虚拟机里面装个360，把这个软件一放进去，360就就风车车的跳出来说发现病毒。。。

redroof

zxq6 发表于 2024-4-18 19:32
擦，根本就不能运行。
文件一从rar包释放出来，或者双击运行的时候。360就发疯似的跳出来，说检测到xxx有 ...
(引用自33楼)

不能运行就够了啊。客户的电脑不让你程序运行，然后他又必须用，所以他得来找你解决问题啊，你告诉他停掉杀毒软件就好了。
他不停杀毒软件，那他就不能用，你没责任。就像如果客户不买个装有windows的电脑，他就不能运行你的程序一样。。。

redroof

zxq6 发表于 2024-4-18 19:32
擦，根本就不能运行。
文件一从rar包释放出来，或者双击运行的时候。360就发疯似的跳出来，说检测到xxx有 ...
(引用自33楼)

谁叫你把软件做那么绿色的，呵呵，
你就必须要写一堆注册表才能用，谁不让你写注册表你就罢工，这样就啥事都没了。他必须自己负责放过你。
除非你的程序是你求着人家用的，人家不用也行，那你就没办法了。
正常的工业程序都是别人主动找你要用的，他杀毒软件也得按你的要求来。杀了你的程序他就没得用了，只能老老实实关杀毒软件，关了还不行就卸了重启
太过绿色的程序，就会惯着那些杀毒软件。。。
工控软件明明有一大堆合理的理由需要管理员权限，需要写注册表什么的，比如装驱动，做开机自启动，注册com对象之类的。谁挡你这些操作，你不能用了是他自己的责任。。。

zxq6

redroof 发表于 2024-4-18 22:14
谁叫你把软件做那么绿色的，呵呵，
你就必须要写一堆注册表才能用，谁不让你写注册表你就罢工，这样就啥 ...
(引用自39楼)

没办法，典型的甲方爸爸。这个软件他们必须要用，不符合他们的要求也尽量要改。
现在问题也大致清楚，处理建议也提交给领导，等他们去撕吧。
话说，有没有一个开发环境的helloworld是360不认为是病毒的？

redroof

zxq6 发表于 2024-4-18 22:26
没办法，典型的甲方爸爸。这个软件他们必须要用，不符合他们的要求也尽量要改。
现在问题也大致清楚，处 ...
(引用自40楼)

装360被杀了应该让他们去找360为什么误杀你程序。
企业版的杀毒都可以设白名单的。
个人的杀毒就直接叫他卸了呗。
别的没什么好说的了。
面向大量客户的商业程序，你挣了钱的，就花点钱给360交保护费也行。
别的没招了。有他没你，有你没他，就这么简单。。。
你不可能通过改程序让一个流氓放过挣保护费的机会的。
我们的技术支持经常干的事就是叫客户关杀毒软件，关了还不行就卸。哪怕缷完了等我们程序装好能用了让客户自己再装回他的杀毒软件都行。这是日常操作，没听哪个客户有意见问我们为什么他的杀毒软件要挡我们程序的。
因为杀毒软件会挡几乎所有的工控程序，包括西门子。。。

PPS

给360交一年保护费，验收通过一年过后，让甲方自己去交去。

dulala

zxq6 发表于 2024-4-18 22:26
没办法，典型的甲方爸爸。这个软件他们必须要用，不符合他们的要求也尽量要改。
现在问题也大致清楚，处 ...
(引用自40楼)

用labVIEW写的程序，360没见过报病毒，只是这个要安装VISA和LV的运行库，不知道安装这两个360怎么样。我记得前面一台WINdows11上安装好像360没有报病毒之类的。

isakura

有能力自己开发安全软件？我一个字都不信

isakura

不过确实有种情况，就是本公司电脑中了病毒，编译出来的exe也带病毒，这种我们用VB6.0就有过

qwe2231695

做下360免杀操作

zxq6

isakura 发表于 2024-4-19 00:20
不过确实有种情况，就是本公司电脑中了病毒，编译出来的exe也带病毒，这种我们用VB6.0就有过 ...
(引用自45楼)

这种病毒是所有的exe都会感染吗？相同路径下，另外有一个编译好的其他工程的exe又没有报病毒？

isakura

zxq6 发表于 2024-4-19 06:50
这种病毒是所有的exe都会感染吗？相同路径下，另外有一个编译好的其他工程的exe又没有报病毒？ ...
(引用自47楼)

我们碰到的是感染后编译的就有

初音之恋

360的误杀是最恶心的，随便哪个管家都比这个强

zstu2012

用engima virtual box打包试试

ycheng2004

python , 好像这种脚本语言不报毒,

jianfengxixi

跟客户搞好关系，直接把杀毒程序卸了。。。

wochai

还好啊，我这用 .NET4 和 .NET462 de C#程序，360没报毒。

wochai

是不是用过什么特殊的开源包？

zxq6

wochai 发表于 2024-4-19 21:09
是不是用过什么特殊的开源包？
(引用自54楼)

没有，就是vs2019的内置控件。

wochai

zxq6 发表于 2024-4-19 23:05
没有，就是vs2019的内置控件。
(引用自55楼)

我们的C#软件检测结果

foxpro2005

F-Prot杀毒软件这个都停止维护了的吧， 真是垃圾东西， 随便扔一个exe给它会都给你报恶意程序， 你把系统里微软的随便下exe扔给它看看、wps.exe扔给它看看，都是在乱报。。。
这个一点也不可信。。。