设为首页 收藏本站

NSIS中文论坛

查看: 1164|回复: 9

[求助] NSIS被误报病毒的原因及解决方式

[复制链接]
  • TA的每日心情
    开心
    2018-2-13 09:51
  • 签到天数: 13 天

    [LV.3]偶尔看看II

    3

    主题

    12

    帖子

    193

    积分

    积分
    193
    发表于 2018-2-1 17:55:13 | 显示全部楼层 |阅读模式
    本帖最后由 Siven 于 2018-2-2 08:26 编辑

    Hi 大家好!近期在使用NSIS制作软件安装包,相比于Installshield,NSIS更加开放和友好,功能也更加强大,非常喜欢。但是,我们提供给用户的安装程序有用户反馈在Win10上被Windows Defender曝出存在病毒(Win32.Trojan);之后我把安装程序上传到VirusTotal网站(网址:https://www.virustotal.com)在线查杀,发现也被曝出存在病毒,如下图:

    virustotal

    virustotal


    但是,在发布软件之前使用付费版卡巴斯基扫描却没有扫出存在病毒。之后我们将安装程序发送给微软以及卡巴斯基,得到的反馈是不包含任何恶意代码或病毒,这让我们觉得很无语……
    之后上网了解到,像NSIS以及Inno这种开源的安装包制作脚本,有很多被误报病毒的情况。我们在NSIS官网上下载NSIS的安装包(网址:http://nsis.sourceforge.net/Download/ ,下载版本为3.03)上传到VirusTotal,同样被曝出存在病毒,如下图:
    NSIS-303-virustotal.png

    之后我们想上网了解像NSIS或Inno这种开源安装包制作工具被误报病毒的原因,但能找到的资料却很少。所以想要在这里向各位求助一下:
    1. 有谁能够详细介绍一下NSIS被误报病毒的原因吗?(网上有人说是使用了lzma_solid压缩算法导致,也有人说是因为NSIS使用了加壳的方式在内存加载dll文件导致,但好像都没有比较详细的说明)
    2. 目前有很多强大的开源软件也是使用NSIS制作安装包,比如网络数据包分析工具Wireshark,我在他们的官网上下载安装程序再上传到Virustotal测试,他们的安装包却没有被曝出存在病毒,有人了解他们是如何实现的吗?
    3. 我在网上了解到说是需要给我们发布的软件添加属于我们自己的数字签名,这样可以避免被误报病毒,那我们该向哪家机构购买数字签名呢?具体的流程是如何的呢?(原谅我们这些菜鸟……)
    4. 除了购买数字签名证书的方式,是否还有其他途径可以避免我们发布的软件被误报病毒呢?


    回复

    使用道具 举报

  • TA的每日心情
    开心
    2018-2-13 09:51
  • 签到天数: 13 天

    [LV.3]偶尔看看II

    3

    主题

    12

    帖子

    193

    积分

    积分
    193
     楼主| 发表于 2018-2-2 19:22:10 | 显示全部楼层
    有谁有相关的经验可以交流一下吗?真的非常感谢!
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    开心
    2018-2-13 09:51
  • 签到天数: 13 天

    [LV.3]偶尔看看II

    3

    主题

    12

    帖子

    193

    积分

    积分
    193
     楼主| 发表于 2018-2-5 10:25:37 | 显示全部楼层
    自己顶一下,有谁可以交流一下吗?
    回复 支持 反对

    使用道具 举报

  • TA的每日心情

    2018-3-29 18:51
  • 签到天数: 54 天

    [LV.5]常住居民I

    24

    主题

    80

    帖子

    810

    积分

    积分
    810
    发表于 2018-2-6 12:20:37 | 显示全部楼层
    我的经验是,启动的时候不要对注册表读写,去掉压缩,数字签名后一般杀毒软件不会报错,我遇到过的是数字签名后360还是会认为是病毒。
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    开心
    2018-2-13 09:51
  • 签到天数: 13 天

    [LV.3]偶尔看看II

    3

    主题

    12

    帖子

    193

    积分

    积分
    193
     楼主| 发表于 2018-2-8 09:21:27 | 显示全部楼层
    本帖最后由 Siven 于 2018-2-8 09:48 编辑
    ebase 发表于 2018-2-6 12:20
    我的经验是,启动的时候不要对注册表读写,去掉压缩,数字签名后一般杀毒软件不会报错,我遇到过的是数字签 ...


    感谢您的回复!
    我们的安装程序需要将硬件设备的驱动以及我们的一个辅助程序安装到系统中,由于安装程序初始化阶段需要检测之前是否有安装过对应驱动,需要读取注册表查询,所以也就有了修改注册表的需求,这部分内容似乎无法避免……
    安装程序需要将驱动以及辅助程序打包,使用了NSIS的压缩算法(由于在网上有提及使用lzma_solid算法会被误报病毒,所以我们改用zlib,但依然出现了上面提及的误报情况)
    因为我们没有微软数字签名这方面的经验,所以请问能否告知我们该向哪些机构购买数字签名呢?(我在网上有了解到如沃通这样的机构,但感觉不是微软官方的呀)您提到通过数字签名之后依然被360误报病毒,之后又是如何解决的呢?
    回复 支持 反对

    使用道具 举报

  • TA的每日心情

    2018-3-29 18:51
  • 签到天数: 54 天

    [LV.5]常住居民I

    24

    主题

    80

    帖子

    810

    积分

    积分
    810
    发表于 2018-2-13 14:21:37 | 显示全部楼层
    Siven 发表于 2018-2-8 09:21
    感谢您的回复!
    我们的安装程序需要将硬件设备的驱动以及我们的一个辅助程序安装到系统中,由于安装程序 ...

    亚洲诚信 购买赛门铁克的微软代码签名,要支持sha2算法的
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    郁闷
    2018-7-18 13:50
  • 签到天数: 1 天

    [LV.1]初来乍到

    0

    主题

    4

    帖子

    22

    积分

    积分
    22
    发表于 2018-7-18 09:06:28 | 显示全部楼层
    生成的uninst.exe卸载程序有时候也会被误报病毒,很无语
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    开心
    2018-2-13 09:51
  • 签到天数: 13 天

    [LV.3]偶尔看看II

    3

    主题

    12

    帖子

    193

    积分

    积分
    193
     楼主| 发表于 2018-7-24 09:43:53 | 显示全部楼层
    ACE_Kun 发表于 2018-7-18 09:06
    生成的uninst.exe卸载程序有时候也会被误报病毒,很无语

    如果你是在安装时动态生成uninstall.exe程序,很大可能会被杀毒软件误报的,我之前也是这样,后来我将卸载程序分离出来,使用单独一个.nsi文件提前生成,然后添加版权信息等,再将生成的uninstall.exe程序压缩到安装程序中,这样基本不会被误报了。
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    奋斗
    2018-11-9 07:57
  • 签到天数: 67 天

    [LV.6]常住居民II

    97

    主题

    440

    帖子

    4987

    积分

    积分
    4987
    发表于 2018-7-31 17:19:45 | 显示全部楼层
    除了数字签名之外,貌似没有什么解决方案。
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    0

    主题

    5

    帖子

    21

    积分

    积分
    21
    发表于 2018-11-7 12:09:19 | 显示全部楼层
    Siven 发表于 2018-7-24 09:43
    如果你是在安装时动态生成uninstall.exe程序,很大可能会被杀毒软件误报的,我之前也是这样,后来我将卸 ...

    请问你uninstall.exe的安装路径怎么写入注册表?如果在setup.nsi写入还是会被误报,你是怎么解决的?
    回复 支持 反对

    使用道具 举报

    您需要登录后才可以回帖 登录 | 立即注册

    本版积分规则

    Archiver|手机版|小黑屋|联系我们|NSIS中文论坛    

    GMT+8, 2018-11-21 06:04 , Processed in 0.029097 second(s), 14 queries , MemCache On.

    Powered by Discuz!X3.3

    Copyright © 2015-2018 NSIS中文论坛

    快速回复 返回顶部 返回列表