如何解决Windows Defender 将我的程序识别为多个木马“Wacatac”和“Persistence” - 可能是由覆盖注册表项引起的
两个木马:
这是我认为导致问题的代码。目的是创建/修改注册表项以使程序在启动时运行:
void SoftwareDlg::SetSURegValue() {
string regSubKey("SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\\");
string regValueName = "Software";
string regValue = "D:\\Users\\Skew\\Documents\\repos\\Software\\Debug\\Software.exe"
try
{
size_t bufferSize = 0xFFF;
auto cbData = static_cast<DWORD>(regValue.size() * sizeof(char));
HKEY hKey;
DWORD position;
auto rc = RegCreateKeyEx(HKEY_CURRENT_USER,regSubKey.c_str(),NULL,REG_OPTION_NON_VOLATILE,KEY_ALL_ACCESS,&hKey,&position);
if (position == REG_OPENED_EXISTING_KEY) {
DEBUG_PRINT("Key already exists & has been opened.")
}
else if (position == REG_CREATED_NEW_KEY) {
DEBUG_PRINT("Created new key.")
}
else {
DEBUG_PRINT("ERROR: Key does not exist,and a new key was not created.")
}
if (rc == ERROR_SUCCESS) {
auto rc = RegSetValueEx(hKey,regValueName.c_str(),REG_SZ,(BYTE*)regValue.data(),cbData);
if (rc != ERROR_SUCCESS)
{
throw std::runtime_error("Windows system error code: " + to_string(rc));
}
}
else {
DEBUG_PRINT("Error opening key.\n")
}
}
catch (std::exception& e)
{
DEBUG_PRINT(e.what())
}
}
在我尝试解决这个问题的过程中,我开始测试创建/修改密钥的不同场景,但是当我意识到 Windows Defender 似乎停止将每次运行记录为“新威胁”并且似乎将它们记录在一起时,我的结果变得不确定作为一个单一的“永久威胁”,我猜?不太确定。
话虽如此,当我最初创建密钥或打开它并为其分配相同的值时,Windows Defender 似乎没有记录威胁,但是当我将程序移至一个新目录(并且程序会尝试将“软件”注册表值更改为新的 EXE 位置)。
这给我留下了几个问题:
- 我的程序是否通过一些编码错误模仿了 2 个木马的行为?
- 或者我的机器上是否有一些潜在的、机会主义的恶意软件等待利用?
- 在尝试更改现有值之前是否需要删除它?
RegCreateKeyEx
的行为让我相信事实并非如此。 - 是否禁止在没有提升权限的情况下写入注册表?如果是这样......为什么我的机器让我这样做?
- 我是否在
RegSetValueEx()
函数中进行了一些错误的类型转换?
如果 #4 是这种情况,我想我真的很惊讶我收到的是 Windows Defender 而不是 Visual Studio 或 UAC 提示。
编辑 1:No engines on VirusTotal.com detected the file as malware.
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。