问题标签 [antimalware]

我有一个 java 程序，它在 temp 目录中写入一些临时文件。临时目录位于 SSD 上。写操作通常非常快。但是现在有了一些特定的示例数据，它非常非常慢，并且反恶意软件服务可执行文件的 CPU 很高（30% - 35%）。写入速度约为。50 KB/秒。

如果我在写循环上设置断点，反恶意软件的 CPU 会变为 0%。如果我继续，那么反恶意软件的 CPU 会变高。我可以重复多次。

看起来反恶意软件正在密集扫描我的临时数据。为什么会发生这种情况，我该如何预防？

我尝试在网上搜索这些功能的软件，并想出了 unhackme 和 hitman pro。但后来我对这两种软件进行了更多研究，但对它们的能力却没有定论。这两个程序有用还是我应该使用另一个程序来删除恶意软件？如果是这样，您推荐的程序是什么。

为了在 Android 上开发反恶意软件，我需要smali一个 APK 的表示。

我正在尝试baksmali.jar直接在设备上执行。我问了工具GitHub 的作者：Executing baksmali on an Android device。

我按照 堆栈溢出后的步骤操作：How to execute the dex file in android with command?

1. 我下载的是v2.2b4版本
2. dx --dex --output=classes.dex baksmali.jar我使用的dx工具来自android/Sdk/build-tools/25.0.2
3. zip baksmali.zip classes.dex
4. adb push baksmali.zip /sdcard/我正在使用 genymotion 模拟器custom phone-4.4.4 API 19
5. adb shell mkdir /sdcard/dalvik-cache
6. adb shell ANDROID_DATA=/sdcard dalvikvm -cp /sdcard/baksmali.zip org.jf.baksmali.Main

在那之后，我收到了这个错误Unable to locate class 'org/jf/baksmali/Main' 信息

我不明白这个错误，类路径是正确的。

我怎样才能解决这个问题 ？

先感谢您。

我们正在开发适用于 Windows 的安全套件。我们希望我们的流程像 Kaspersky 或 Avast 的那样无法杀死。在浏览网络时，我遇到了 Windows Protected Services。

https://msdn.microsoft.com/en-us/library/windows/desktop/dn313124%28v=vs.85%29.aspx?f=255&MSPPError=-2147217396

如何将我的产品注册为受 Windows 保护的服务？

还是该服务仅适用于反恶意软件产品？它对安全套件的可用性如何，它可以执行 USB 设备管理、数据保护和类似的事情？

我正在编写一个 Android 应用程序，如果他/她的设备上安装了任何 PHA（潜在有害应用程序），它将向用户报告（以及其他 SafetyNet 数据）。

为此，我正在使用SafetyNet Verify Apps API。我的电话isVerifyAppsEnabled()工作正常，但拨打电话listHarmfulApps()一无所获。

两者在语法上是相同的，所以我相信我的代码是可以的，但无论如何：

代码实际上并不多：它基本上是Google 页面上的代码，适用于使用 GMS 11.0.2 中的新 API 调用（上述页面上的示例都使用不推荐使用的调用），但它不适用于全部。没有一个听众被触发。

要么我搞砸了，要么我正在测试的设备上根本没有任何 PHA。

因此我的3个问题：

1）我的代码正确吗？

2) 是否有任何我可以安装的 PHA 会被列入黑名单，出现在名单上，但实际上并没有害处？（如用于测试杀毒软件的EICAR病毒）。

3）最后，如果（1）和（2）不可能，我可以安装任何 PHA 吗？在这种情况下，我将使用受控的、一次性的环境，例如我将在之后擦除的有根模拟器。

先感谢您。

我需要找到更多与 Mamba 勒索软件相关的信息来扭转它。我特别关注 SHA 值、IP、URL 等形式的 IOC。任何相关信息将不胜感激。

提前致谢

我最近在我的网站上遇到了一个奇怪的问题。这是与我的内容没有任何关系的网址的问题（请参阅谷歌搜索结果中带有假链接的屏幕截图）。幸运的是，这些链接不是外部垃圾邮件链接。

所以我决定执行以下步骤：

我已经使用安全检查器（例如 sucuri、unmasking）审查了我的网站，所有这些网站都宣布我的网站完全干净。我删除了旧的 WordPress 文件（除了 wp-config 和 wp 内容文件夹）并用新鲜干净的文件替换它们。1.我用新的文件替换了整个主题系统文件（php、js等）。

2.我使用itheme安全插件更改了所有密码和worpress盐，删除.htaccess文件并让wordpress创建一个新文件。

3.我使用谷歌网站管理员删除了不相关的链接。

4.我还删除了可疑插件，并在两周前恢复了我网站备份的完整版本。

不幸的是，直到今天链接还没有消失。所有 url 共享同一个词“marblehead”。像下面的网址：

omranf1.com/conkers/marblehead/15244_17630.asp/page/2/

有趣的是，在每个这些 URL 的搜索结果的描述部分中，都会显示我网站内容的抽象部分（或元标记描述）。

有没有人想出解决这个问题的方法？我真的很困惑如何摆脱这个问题！

好的，所以这是一个修改后的帖子，因为我可以看到一些反对票，而对我来说，解决方案仍然无法正常工作。作为背景，从 Visual Studio 部署到 Azure 中的云服务会将反恶意软件重置回原始状态（禁用）。所以我试图默认启用它。

到目前为止采取的步骤：

1. 在主 Web 项目中创建 Startup 文件夹
2. 将以下内容添加到此文件夹 startup.cmd 文件中：

3. 将 powershell 脚本 startup.ps1 添加到同一文件夹：

4. 修改云服务项目中的ServiceDefinition.csdef文件调用启动任务：

我部署我的解决方案并得到相同的结果。反恶意软件仍处于禁用状态。如果我在 VM 中启动 RDP 会话并询问日志，我可以看到它正在运行，但找不到 AzureServiceAntimalwareExtension 的特定 powershell 命令/脚本：

有什么建议么？

我有一个使用 WMIC 命令的 python 脚本，一个文件夹（作为输入），当然它在 python.exe 中运行。它使用 WMIC 命令 (WMIC.exe) 创建多个输入文件并使用它们。它们都位于与脚本相同的文件夹中，我在这里将其称为“输入文件夹”。

该脚本没有任何问题，但 Windows Defender 的 Antimalware Service Executable 在循环中开始使用 CPU 10-20%。我已阅读将使用的文件夹和进程添加到 Windows Defender 安全中心异常列表中，反恶意软件服务可执行文件应该忽略它们并且不为此使用 CPU。

问题是当我添加

• 输入文件夹
• WMIC.exe
• python.exe
• 命令文件
• 主机程序

在例外列表中，当循环运行时，反恶意软件服务可执行文件仍以 10-20% 的 CPU 使用率运行。我是否应该在列表中添加更多内容，或者为什么它没有像应有的那样工作？

附加信息： 运行脚本时任务管理器显示的内容

• 控制台窗口主机名为 conhost.exe

• Python 调用 python.exe

• 称为 cmd.exe 的 Windows 命令处理器

• 名为 WMIC.exe 的 WMI 命令行实用程序

我作为“进程”包含在例外列表中的所有 .exe 程序，文件夹作为“文件夹”

我们有一个 Microsoft Windows 服务器，我们发现所有文件都更改为扩展.ETH文件（特别是 AutoCAD.dwg文件）。

如下：

所有文件都转换为.id-26E67253.[helpfilerestore@india.com].ETH.

此外，如果我尝试将任何闪存 USB 连接到计算机，USB 驱动器内的所有文件也会被黑客入侵。

我只需要任何建议，如何获取旧文件，如何修复病毒或黑客攻击？