搜索
查看: 33725|回复: 54

[已解决] WTG被 卡巴斯基 检测到可疑行为

[复制链接]
发表于 2017-7-22 15:24:35 | 显示全部楼层 |阅读模式
普通帖子
帖子关键词: -
本帖最后由 8680765 于 2017-8-1 10:47 编辑

我是WTG的老用户了,用WTG一年了。还专门买了好几个U盘做系统


之前用WTG的时候开的是360安全卫士 国际版 或者不装反病毒软件
最近开了COMODO 的HIPS 和卡巴斯基。

今天运行从萝卜头下载的最新版WTG(https://bbs.luobotou.org/thread-761-1-1.html

HIPS 提示WTG正在调取CMD,我允许了。然后卡巴斯基提示这个程序正在进行可疑行为,然后清除了程序并回滚了所有操作。。。

snipaste_20170722_135556.jpg
snipaste_20170722_140043.jpg

——————————————


回滚之后重启了系统,然后我打开了虚拟机用火绒剑简单看了一下WTG启动后的操作。

行为确实很奇怪。。。
1需要管理员权限
2没联网
3向缓存目录写入很多的文件,各种文件都有,比如.dat.exe文件。奇怪的是写入完成后啥都不干,立刻删除。包括PE文件,写入后不启动不加载,直接删除。。
4确实调用了CMD,具体干什么我也没仔细看


snipaste_20170722_141220.jpg


——————————————


处置:
清除WTG 并回滚操作

不能确定是恶意程序,但保险起见不再使用WTG,改用WinToUSB(URL:http://www.easyuefi.com/wintousb/index-cn.html)    //(人家WinToUSB可是在 卡巴斯基&360 白名单里的,而且支持多国语言 )

——————————————

在说两句:
其实卡巴斯基扫描WTG并没有报毒,但是运行时提示有可疑行文,然后建议删除。
压缩包上传到腾讯哈勃文件行为检测,显示未发现风险,也就是安全性未知。。。
WinToUSB有收费版和免费版,应该比WTG好用


回复

使用道具 举报

发表于 2017-7-22 23:11:04 | 显示全部楼层
你自己写个改引导的程序照样报可疑,杀毒软件又不管你干啥,只要有高危操作又没在白名单就会报。
作u启动必然要干高危操作,你截图又不截关键位置,完全没说服力
回复

使用道具 举报

发表于 2017-7-23 11:37:58 | 显示全部楼层
本帖最后由 fjy 于 2017-7-23 11:43 编辑
不能确定是恶意程序,但保险起见不再使用WTG,改用WinToUSB

这是个开源项目,有没有风险你自己去看看源代码不就知道了。
https://github.com/nkc3g4/wtg-assistant


1需要管理员权限
2没联网
3向缓存目录写入很多的文件,各种文件都有,比如.dat.exe文件。奇怪的是写入完成后啥都不干,立刻删除。包括PE文件,写入后不启动不加载,直接删除。。
4确实调用了CMD,具体干什么我也没仔细看

这些行为都是正常的。程序应该是先把需要的工具写入到缓存目录,然后开始制作,制作完后删除。在制作WTG的过程中必须要有管理员权限执行指令。


改用WinToUSB(URL:http://www.easyuefi.com/wintousb/index-cn.html)    //(人家WinToUSB可是在 卡巴斯基&360 白名单里的,而且支持多国语言 )
WinToUSB有收费版和免费版,应该比WTG好用

这两句话我怎么觉得你是在打广告呢


回复

使用道具 举报

 楼主| 发表于 2017-7-23 14:55:39 | 显示全部楼层
fjy 发表于 2017-7-23 11:37
这是个开源项目,有没有风险你自己去看看源代码不就知道了。
https://github.com/nkc3g4/wtg-assistant

那么多代码,谁有时间去看呢。

制作什么啊?程序启动的时候就会释放文件然后删除。

我后来试了一下WinToUSB 确实比WTG好用。只是免费版不能装企业版系统
回复

使用道具 举报

 楼主| 发表于 2017-7-23 14:58:43 | 显示全部楼层
great轻狂 发表于 2017-7-22 23:11
你自己写个改引导的程序照样报可疑,杀毒软件又不管你干啥,只要有高危操作又没在白名单就会报。
作u启动必 ...

不是做U盘的时候提示危险操作。而是是启动WTG(还没显示窗口)就被报 正在进行典型的恶意软件危险操作!!!
回复

使用道具 举报

 楼主| 发表于 2017-7-23 15:02:36 | 显示全部楼层
great轻狂 发表于 2017-7-22 23:11
你自己写个改引导的程序照样报可疑,杀毒软件又不管你干啥,只要有高危操作又没在白名单就会报。
作u启动必 ...

要是做启动盘的时候提示危险,我没什么好说的。但这是在打开软件的时候就进行高危操作。。。正常软件根本不会这样吧。  希望作者能出来解释一下
回复

使用道具 举报

 楼主| 发表于 2017-7-23 15:33:46 | 显示全部楼层
本帖最后由 ynefen 于 2017-7-23 15:53 编辑
fjy 发表于 2017-7-23 11:37
这是个开源项目,有没有风险你自己去看看源代码不就知道了。
https://github.com/nkc3g4/wtg-assistant

显然WinToUSB 比WTG 设计的更合理。WTG新手不看教程研究一下没人会用,而WinToUSB就非常简便。

再比如家庭版&专业版混合的ISO文件,在WinToUSB会让你选择装哪个版本,而WTG就没有选择
再再比如WinToUSB 可以把正常安装到硬盘里的系统克隆到U盘变成Windows to go盘

再再再比如WinToUSB可以直接从ISO/光驱安装,不用解压然后选什么文件

再再再再比如WinToUSB把硬盘里的普通系统直接转换成Windows to go,还可以把Windows to go转换回普通系统。

而且WinToUSB是被卡巴斯基和360列为白名单的程序,安全风险比 WTG 低很多。
*以上都是免费版的功能

事实上WinToUSB确实WTG好,我说一下又能怎样呢?这就是打广告了?


是否开源跟是否安全关系很小,首先只有一小部分人懂这个语言,有精力去看代码的只有极小部分,再加上软件版本众多,除非软件用户数量非常大,否则几乎不可能被发现有问题。WTG这种小众软件显然属于用户量不大的那种

支持这种观点最有利的证据就是PHP木马,虽然PHP程序全是开源的,但PHP木马数量和中马数量都非常大。甚至包括wordpress官方下载的插件都有带木马的。

————————————

能看懂代码的是用户中的一小部分,会去看的是一小部分中的一小部分,把代码全都看完吃透的是一小部分中的一小部分中的一小部分,把所有版本的代码全都看完吃透的是一小部分中的一小部分中的一小部分中的一小部分。

回复

使用道具 举报

发表于 2017-7-24 10:15:15 | 显示全部楼层
你能保证卡巴斯基就绝对可靠吗? 现在的杀软,呵呵。。。
回复

使用道具 举报

联系我们(Contact)|手机版|萝卜头IT论坛 ( 苏ICP备15050961号-1 )

GMT+8, 2024-11-13 14:45 , Processed in 0.109908 second(s), 24 queries , Gzip On.

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表