大佬教程收集整理的这篇文章主要介绍了我的 c# TCP Sockets 程序被 Windows Defender 隔离,大佬教程大佬觉得挺不错的,现在分享给大家,也给大家做个参考。
我编写了一个 c# 程序来监控我女儿在线课程期间在她的计算机上做什么(由于 COVID 锁定)。 她有一个习惯,就是去 discord 和她的朋友聊天,而不是听课。她还在上课时间玩 minecraft。
我没有时间继续检查她,所以我的妻子催促我编写这个软件。
但该软件被windows Defender检测为木马,如下图;
检测到:Trojan:Script/Wacatac.b!ml 这个程序很危险,会执行来自攻击者的命令
我可以看出它是某种特洛伊木马程序,但它并没有在这种情况下被使用。我只是使用 TCP SOCKETS 来让我自己或我的妻子关注我们的女儿并向她发送消息,如果需要,可以远程关闭有问题的应用程序。 MS Defender 在我微调 exe 以完成我需要它做的事情时不断隔离每个新编译的方式是真正的绑定。
我希望有人可能知道解决这个问题的方法。 毕竟我使用的 API (System.Net.sockets) 是 Microsoft DotNet 库的一部分。 就好像微软禁止使用它提供的 API 一样。
我的女儿于 2021 年 3 月 8 日返校,因此在那之后(希望如此)将是多余的,但作为开发人员,我仍然想知道如何解决这个问题。
...远程关闭有问题的应用程序。
在某种程度上,这确实使您的程序“执行来自攻击者的命令”。问题似乎不在于您使用的任何 API - 而在于程序实际执行的操作。
您可以尝试使用 ConfuserEx 之类的东西来混淆您的程序,尽管 Windows Defender 也可能标记混淆的构建,因为这是一些真正的恶意软件用来隐藏自己的方法。最简单的解决方案是将程序放在一个单独的目录中,并将该目录添加到 Windows Defender 的排除列表中。
,我们经常遇到此类问题,实际上您无能为力。误报只是我们必须处理的一部分,对于低分发项目(例如个人远程管理工具或我自己的常见情况,自定义 AV 升级脚本)处理它们的唯一方法是为您的在计算机上安装程序时以及每次更新代码时都拥有自己的程序。
就好像微软禁止使用它提供的 API 一样。
不幸的是,恶意软件使用了这些相同的 API。 AV 供应商不断升级他们的定义以捕获尽可能多的威胁,并且恶意软件使用的常用技术也存在于远程管理工具中。
从快速搜索来看,Wacatac.b!ml 是一个特别有问题的检测,它攻击了各种合法应用程序,包括 Blender recently 的开源启动器和其他几个项目。
根据经验,!ml 标记意味着该定义是通过机器学习得出的,这意味着它很可能是深度启发式而非代码指纹。
绕过这种启发式检测的最通用方法是使用 extended validation code signing。由于这需要相对昂贵的认证过程,因此对于您的内部儿童监控工具来说,它不太可能成为有用的解决方案。
在您的情况下,也许路径或 file exclusion 可以让您继续改进您的工具,而不必担心它会不断被检测和阻止。我不建议将它用于@R_317_10674@,但仅用于家庭使用它很简单,但有时不可靠。
最后,您可以彻底更改代码。如果您无法找到避免使用当前代码库进行检测的方法,那么请考虑完全使用不同的技术。启用 powersHell 远程处理并在网络上的另一台机器上运行收集器脚本。构建一个基于 Web 的代理,它轮询 Web 服务(当然是在本地网络上)以获取要运行的命令。使用一个流行的库来处理实际的通信,而不是自己访问套接字。也许效率不高,但有时只需要进行一次更改即可让误报让您无所适从。
以上是大佬教程为你收集整理的我的 c# TCP Sockets 程序被 Windows Defender 隔离全部内容,希望文章能够帮你解决我的 c# TCP Sockets 程序被 Windows Defender 隔离所遇到的程序开发问题。
如果觉得大佬教程网站内容还不错,欢迎将大佬教程推荐给程序员好友。
本图文内容来源于网友网络收集整理提供,作为学习参考使用,版权属于原作者。
如您有任何意见或建议可联系处理。小编QQ:384754419,请注明来意。