为啥我的 DLL 被 MSE 检测为可疑？

Posted 2023-02-16

【中文标题】为啥我的 DLL 被 MSE 检测为可疑？

【英文标题】：Why is my DLL detected as suspicious by MSE?为什么我的 DLL 被 MSE 检测为可疑？

【发布时间】：2014-01-07 15:26:09

【问题描述】：

Microsoft Security Essentials 不断提示我将我自己的一个 DLL（用本机 C++ 编写）发送给 Microsoft 以进行进一步分析，因为（我猜）某种可疑行为。我想知道为什么 MSE 认为我的 DLL 可疑。

DLL 是我用原生 C++ 开发的 3D 游戏的客户端相关代码。它所做的只是使用套接字 api 连接到服务器，处理来自服务器的传入消息，处理鼠标和键盘输入（通过 OIS - 面向对象输入系统），处理一些 Windows 消息（调整大小/最小化/退出等）和实现游戏的主循环，它基本上调用我单独的 renderer.dll 中的函数（这对 MSE 很好）。我不会说什么了不起的。我将 dll 提交给 VirusTotal，结果为 0/48。

有什么想法吗？是否有某种原因列表让 mse 认为它是可疑的？有没有什么方法可以查看 MSE 中进一步分析的原因，比如日志文件之类的？

【问题讨论】：

他们总是有很多错误检测，不仅是MSE，还有其他AV，我遇到了很多问题，你可以将你的DLL发送到microsoft.com/security/portal/submission/submit.aspx并告诉他们改变他们的代码它不会检测到您的 DLL。

【参考方案1】：

也许您可以对可疑代码进行二进制搜索。准备一个版本的 DLL，其中一半的代码被注释掉。如果那个版本没有触发 MSE，那么你就知道可疑代码在你注释掉的那一半。如果确实触发了 MSE，请注释掉剩余代码的一半。迭代直到缩小范围。

识别触发问题的代码可能无法直接帮助您解决问题，但可以让您提出更具体的问题。

【参考方案2】：

怀疑是因为：

使用套接字 api 处理（钩住）鼠标 处理（挂钩）键盘 处理（挂钩）消息

也许还有一些上面没有列出的东西。 （我的第一个间谍应用程序全部使用了它们）