CreateProcessA(szFilePath, NULL, NULL, NULL, FALSE, CREATE_SUSPENDED, NULL, NULL, &SI, &PI)
就像标题中一样,Windows 将此行识别为恶意行。我通过删除项目中的行来检查它。这一行导致我的项目被识别为“Worm:Win32/Rebhip.A”类型的病毒。我必须创建挂起的进程,是否有其他方法可以避免此类警告?
最佳答案
创建挂起进程有时会被病毒用于邪恶目的,因此它们可以更改 CONTEXT->EIP
或在 Microsoft/Mozilla .exe 中注入(inject)一个线程,然后绕过防火墙等,但那些技巧已经过时,可能不再奏效了?
启动挂起的进程也有绝对正当的理由,将其附加到 Job 对象就是一个例子。
我建议您在开发应用程序时将其列入白名单,希望它在完成后不再触发防病毒软件。这实际上取决于它是由签名触发还是由运行时启发式触发。如果它仍然在您完成的应用程序上触发,您需要 submit a false-positive report给供应商,也许会点名羞辱他们......
关于c++ winapi CreateProcess Suspended被识别为恶意,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/28205687/