有时你会被告知将文件列入白名单以运行破解程序,但这是误报。为什么有些 AV 检测此类病毒时会“含有病毒”?
我知道有些破解程序是假文件,目的是让你的计算机崩溃或窃取一些私人信息,但大多数破解程序能够使软件以完整版本运行。
我尝试在沙盒中运行破解程序,或者使用一些在线服务,例如防火墙分析创建了什么文件、注册表但通常没有任何可疑之处。
我想我不应该在这里上传任何破解样本,但我敢打赌如果你知道这个问题的答案你应该知道在哪里下载一些样本,顺便一下这里有一些 VirusTotal 扫描报告: 链接1,链接2,链接3
编辑:我看到有人投票关闭这个问题,理由是“主要是基于意见”,但这完全不是主要基于意见。看了建议的答案后,原因是“让他们的目标无法按预期工作”。
答案1
我相当肯定破解工具被检测为恶意软件或病毒,因为从定义上讲,它们就是恶意软件或病毒。它们的具体目的是修改程序和文件,使其无法按设计运行。它们会删除验证文件、修改注册状态,并尽其所能使目标无法按预期运行。
尽管破解程序允许您(用户)免费使用该程序(即,您使用该程序实现了您的目标并使其按预期运行),但 AV 并不关心这一点。如果某个程序想要编辑另一个程序(或编辑系统文件),它就符合恶意软件的定义。
答案2
四个原因:
大多数客户都希望他们的软件以这种方式工作。或者,他们更希望人们相信他们这样做,并因此按照他们这样做的方式行事。
他们不愿意确认此类软件是安全的,而且一旦他们确认了,他们就必须要么发出警报,要么不发出警报。正如您所指出的,许多此类软件都是恶意软件。
有时安全软件不是由机器的唯一用户安装的。通常,安装并管理该软件的人会想知道破解的软件是否已安装在他的机器上。
有些程序使用启发式方法来检测恶意软件。除非程序被特别列入白名单,否则检查其他程序并操纵或修改它们的程序可能会被自动标记为恶意软件。将破解程序列入白名单没有任何好处,而且有显著的坏处——这可能会被视为助长犯罪,或者如果他们列入白名单的程序被证明是恶意的或其他有害的,可能会使他们面临风险。
答案3
这是一个复杂的问题。
如今,大多数破解程序都需要使用恶意软件技巧才能真正发挥作用。这往往会引发启发式误报。防病毒人员拒绝修复此问题,因为这为真正的恶意软件打开了大门,使其可以伪装成破解程序来躲避启发式程序,而且这是恐吓人们不要盗版的一个很好的 FUD 剂量。Windows Defender 在这方面表现最差。事实上,有时破解程序做存在实际病毒或恶意软件则无济于事。
软件供应商更喜欢这种状态。他们以前在这方面做得很糟糕,McAfee 直接删除了文件名为 keygen.exe 的文件,称这是无法清除的病毒,并且无法清除该文件。直到今天,我仍然发现密钥生成器(其中根本没有恶意软件代码)被声明为病毒或恶意软件。更诚实的程序会直接告诉您它是一个密钥生成器,并将其归类为潜在有害程序,但仍会想要删除它。Windows Defender 在这方面是比较诚实的程序之一,它会直接告诉您这是一个绕过验证的 Windows 黑客工具。
我不会反对想要删除密钥生成器的防病毒软件,只要它诚实地说出来。这在公司电脑上非常有用。作为一家公司,你可能会因为电脑上有盗版软件而惹上麻烦,所以你实际上会希望你的防病毒解决方案强制删除它。但当它只是说它是病毒或恶意软件时,我会很生气,而实际上它知道它实际上是一个破解程序或密钥生成器。