搜索
楼主: ynefen

[已解决] WTG被 卡巴斯基 检测到可疑行为

[复制链接]
发表于 2017-7-24 10:50:52 | 显示全部楼层
umi 发表于 2017-7-24 10:15
你能保证卡巴斯基就绝对可靠吗? 现在的杀软,呵呵。。。

正常,WTG工具有底层数据直接修改的行为(MBR和PBR),很正常。
回复

使用道具 举报

发表于 2017-7-24 12:54:06 | 显示全部楼层
ynefen 发表于 2017-7-23 15:33
显然WinToUSB 比WTG 设计的更合理。WTG新手不看教程研究一下没人会用,而WinToUSB就非常简便。

再比如家 ...

点浏览选文件,再选u盘,点创建,最多再在右边点下vhd,这也要研究。。。
硬盘转wtg,工具下有个叫克隆本机系统的东西没,
选系统版本,右边有一个叫分卷的下拉菜单
回复

使用道具 举报

发表于 2017-7-24 13:32:52 | 显示全部楼层
本帖最后由 great轻狂 于 2017-7-24 13:34 编辑

卡巴报高危是软件释放文件时是写4k,读4k,再写4k,刚好符合高危操作(在程序后面添加代码,修改程序入口),不像压缩软件一样直接释放完,
还有文件释放完后是建一个线程扫描注册表,没有看到直接删除的操作,你的截图也没截删除文件部分
(数据来自Procmon)
回复

使用道具 举报

发表于 2017-7-24 18:41:55 | 显示全部楼层
本帖最后由 20011010wo 于 2017-7-24 18:55 编辑

我先陈述几个客观事实,希望楼主理解之间的关系:1.WTGA使用C#编写。
2.WTGA代码结构不复杂。
3.WTGA支持间接部署至VHD(X)。
4.WTGA根据运行环境,依靠命令行调用imagex,bcdboot,diskpart等系统部件实现安装。这些命令行程序需要管理员权限。
5.WTGA还带有fbinst,bootice,bcdedit等程序。这些程序一般不会被使用,但是可能会被WTGA高级菜单经用户手动调用。同样,他们需要管理员权限。
6.WTGA全部附属程序放在wintogo.exe同目录下的.dat文件中。运行时会被一起解压到%TEMP%环境变量指定的位置。
7.WTG制作相关的大量WINAPI需要管理员权限。
8.C#调用相关WINAPI并不方便。
9.WTGA最早版本非常简陋,开发时间早,NK精力有限。
10.从一开始,WTGA就不是一个向导式软件。有过开发计划,但是大家都没时间。
11.频繁调用CMD由杀软看是可疑的。12.开源软件的精神是“YOU CAN YOU UP”,你不能因为看不懂代码而怀疑其安全性。13.萝卜青菜各有所爱,不是所有的人(包括我)都喜欢向导。14.能看到源代码并不是开源。如果能看到源代码就叫开源,那么,所有的Python,Perl,Ruby,bash,PHP,Javascript,甚至Java,Csharp写成的软件都是开源软件。15.WTGA是MIT协议的开源软件

回复

使用道具 举报

发表于 2017-7-24 21:26:27 | 显示全部楼层
本帖最后由 fjy 于 2017-7-24 21:43 编辑

和你这种小白真是无话可说。既然你认为这个程序不安全那你别用啊,何必到讨论这个程序的论坛乱黑一通,再说别的程序的好话呢?

支持这种观点最有利的证据就是PHP木马,虽然PHP程序全是开源的,但PHP木马数量和中马数量都非常大。甚至包括wordpress官方下载的插件都有带木马的。

请问,“PHP项目全是开源的”这是谁告诉你的?不懂也不要乱说好吗,好歹去找找资料。你有本事把百度、谷歌、淘宝的源码拿出来啊。


事实上WinToUSB确实WTG好,我说一下又能怎样呢?这就是打广告了?

你满口都是WinToUSB,不得不让人怀疑你是来故意黑的


能看懂代码的是用户中的一小部分,会去看的是一小部分中的一小部分,把代码全都看完吃透的是一小部分中的一小部分中的一小部分,把所有版本的代码全都看完吃透的是一小部分中的一小部分中的一小部分中的一小部分。

你以为编程上手那么难?有必要“把所有版本的代码全部浏览一遍”?你去百度、谷歌搜一下相关知识点再来说话。



NK把程序已经写的很人性化了,你不放心的话就别用了,要用的人多了去了,你可以选择不用任何工具,手动创建WTG启动盘啊
回复

使用道具 举报

发表于 2017-7-25 13:34:43 | 显示全部楼层
fjy 发表于 2017-7-24 21:26
和你这种小白真是无话可说。既然你认为这个程序不安全那你别用啊,何必到讨论这个程序的论坛乱黑一通,再说 ...

不适用任何工具,怎么做?手动改16进制代码,手写MBR?
回复

使用道具 举报

发表于 2017-7-25 14:11:26 | 显示全部楼层
huangsijun17 发表于 2017-7-25 13:34
不适用任何工具,怎么做?手动改16进制代码,手写MBR?

嗯(x)
回复

使用道具 举报

 楼主| 发表于 2017-7-25 16:00:50 | 显示全部楼层
fjy 发表于 2017-7-24 21:26
和你这种小白真是无话可说。既然你认为这个程序不安全那你别用啊,何必到讨论这个程序的论坛乱黑一通,再说 ...

到底谁小白啊?我就是觉得不安全所以不用了,然后来论坛提出质疑。那个程序我也是放弃WTG后才发现的,别的程序确实比这个好我为什么不能说》
请问,“PHP项目全是开源的”这是谁告诉你的?不懂也不要乱说好吗,好歹去找找资料。你有本事把百度、谷歌、淘宝的源码拿出来啊。

挑这种字眼有意思吗?我你觉得我说的语境里包括的淘宝那种不提供可执行文件程序只提供服务项目吗?
提供可执行的脚本程序=提供了这个程序的源代码。
你满口都是WinToUSB,不得不让人怀疑你是来故意黑的

没有黑点我怎么可能会来黑
你以为编程上手那么难?有必要“把所有版本的代码全部浏览一遍”?你去百度、谷歌搜一下相关知识点再来说话。

不懂也不要乱说好吗,好歹去找找资料。你以为代码审计那么容易啊?如果是一些明显的木马行为那很容易抓出来,但有时候恶意行为非常隐蔽,这种情况下想要发现问题是要付出很大精力的。
很多带恶意软件只在特定版本存在恶意行为,比如迅雷内部人员为了业绩在迅雷里捆绑了了木马,但也仅仅只是那几个版本存在木马。所以必须把所有版本的代码全审计一遍才能说到目前为止这个软件没有恶意行为。
回复

使用道具 举报

联系我们(Contact)|手机版|萝卜头IT论坛 ( 苏ICP备15050961号-1 )

GMT+8, 2024-11-16 08:43 , Processed in 0.080815 second(s), 21 queries , Gzip On.

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表