c++ - 为什么 Avira 将 "CoCreateInstance()"视为恶意软件？-6ren

c++ - 为什么 Avira 将 "CoCreateInstance()"视为恶意软件？

转载作者：行者123 更新时间：2023-11-28 01:31:24

25

4

我使用 visual studio 2017 创建了 c++ 控制台应用程序，它是提取的 .zip 文件。但是，当我运行 application.exe 文件时，Avira 防病毒软件将我的 exe 检测为恶意软件。

我发现 CoCreateInstance(CLSID_Shell, NULL, CLSCTX_INPROC_SERVER, IID_IShellDispatch, (void **)&pISD) 函数在实际 Avira 中产生问题。

为什么 Avira 将 CoCreateInstance(CLSID_Shell, NULL, CLSCTX_INPROC_SERVER, IID_IShellDispatch, (void **)&pISD) 视为恶意软件？

我的功能:

bool Utils::Unzip2Folder(BSTR lpZipFile, BSTR lpFolder)
{
    IShellDispatch *pISD;

    Folder  *pZippedFile = 0L;
    Folder  *pDestination = 0L;

    long FilesCount = 0;
    IDispatch* pItem = 0L;
    FolderItems *pFilesInside = 0L;

    VARIANT Options, OutFolder, InZipFile, Item;
    CoInitialize(NULL);
    __try {
        if (CoCreateInstance(CLSID_Shell, NULL, CLSCTX_INPROC_SERVER, IID_IShellDispatch, (void **)&pISD) != S_OK)
            return 1;

        InZipFile.vt = VT_BSTR;
        InZipFile.bstrVal = lpZipFile;
        pISD->NameSpace(InZipFile, &pZippedFile);
        if (!pZippedFile)
        {
            pISD->Release();
            return 1;
        }

        OutFolder.vt = VT_BSTR;
        OutFolder.bstrVal = lpFolder;
        pISD->NameSpace(OutFolder, &pDestination);
        if (!pDestination)
        {
            pZippedFile->Release();
            pISD->Release();
            return 1;
        }

        pZippedFile->Items(&pFilesInside);
        if (!pFilesInside)
        {
            pDestination->Release();
            pZippedFile->Release();
            pISD->Release();
            return 1;
        }

        pFilesInside->get_Count(&FilesCount);
        if (FilesCount < 1)
        {
            pFilesInside->Release();
            pDestination->Release();
            pZippedFile->Release();
            pISD->Release();
            return 0;
        }

        pFilesInside->QueryInterface(IID_IDispatch, (void**)&pItem);

        Item.vt = VT_DISPATCH;
        Item.pdispVal = pItem;

        Options.vt = VT_I4;
        Options.lVal = 1024 | 512 | 16 | 4;//http://msdn.microsoft.com/en-us/library/bb787866(VS.85).aspx

        bool retval = pDestination->CopyHere(Item, Options) == S_OK;

        pItem->Release(); pItem = 0L;
        pFilesInside->Release(); pFilesInside = 0L;
        pDestination->Release(); pDestination = 0L;
        pZippedFile->Release(); pZippedFile = 0L;
        pISD->Release(); pISD = 0L;

        return retval;
    }
    __finally
    {
        CoUninitialize();
    }
}

最佳答案

没有真正好的答案。为什么 AV 系统将某些文件检测为误报。

大部分误报都是基于一些启发式的。

小程序似乎比大程序更容易出问题。
与具有依赖性的复杂 EXE 相比，对其他 DLL 接缝的依赖性较低的程序更容易出现问题。
API 函数的某些组合似乎比其他函数更容易出问题。使用更复杂的 API 函数和 UI 似乎问题更少。
签名的可执行文件在 AV 系统中出现此类启发式错误的风险较小。
许多程序(和公司签名)都在内部列入白名单。您的程序未知。

这个函数肯定不是您使用的唯一 API 函数。检查取决于，你会发现更多!

把你的exe路径加到Avira的排除列表里就可以了。。。在小工具的开发阶段我不止一次这样做。

最后提示:询问 Avira 并将您的文件发送给他们。他们可能会更改启发式模式匹配，因此这不再是误报。

我使用 Avira serval times 时有这种效果。

关于c++ - 为什么 Avira 将 "CoCreateInstance()"视为恶意软件？，我们在Stack Overflow上找到一个类似的问题： https://stackoverflow.com/questions/51395651/

25

4

0

文章推荐： html - 使用 CSS 使父 div 独立于父 div

文章推荐： HTML 不同的焦点方向仅指向页面的一部分

文章推荐： javascript - 焦点 ContentEditable div

文章推荐： javascript - Twitter Typeahead 与预取 JSON

javascript - 所有浏览器引擎都将 "\<"视为 "<"并将 "\>"视为 ">"吗？
将“”转换为“>”的主要目的是避免以下内联脚本: var foo = "alert('bug');"; // the value of foo is generated from server
android - 将文本输入更改为也将 "u"视为 "ü"，将 "ss"视为 "ß"等以获取单词建议
我有以下想法: 在德语中我们有四个额外的字母(ä、ö、ü、ß)，我不知道任何其他语言有这些声音，但我认为有口音的法国人也知道这个问题。我们在 Google Play 商店中有很多适用于城市、公交车站、
bash find 将 * 视为 *
#!/bin/bash read nameArg find -name "$nameArg" 使用此代码，当我输入例如 *.txt 时，它将为我提供以 txt 结尾的所有文件，但我只想要名称为 *.t
MySQL 不将 ı 视为 i？
我在 MySQL 5.7.27 中有一个带有 utf8mb4_unicode_ci 排序规则的用户表。不幸的是， ı 没有像 i 那样进行线程化，例如，以下查询将找不到 Yılmaz select
MySQL 将 "y"视为 "i"
我的简单 MySQL 查询: SELECT `word` FROM `nouns` WHERE `word` LIKE 'vandenys' 返回: vandenis 但是“vandenYs
c++ - 按值传递的整数常量，视为 constexpr？
虽然我以前用过这样的代码，而且很明显编译器有足够的信息可以工作，但我真的不明白为什么会这样编译: template auto foo(const T& t, I i) { return st
Haskell:将 Bool 视为 Int
如何实现一个以 int 开头的函数，并在每次(经历有限数量的可能性)返回 1 的几个(例如，5 个) bool 值之一时从中减去 1。理想情况下的外观是: function list1 list2
sql - 将 Null 视为 Max
因此，如果我的数据库中有一个包含值的表 1 2 3 4 NULL 我执行了查询 SELECT MAX(col1) FROM 我会得到 4。有什么办法可以改变这个，所以 Null 将被视为最大值而不是
Postgresql全文搜索，将自然数 "01"视为 "1"
例如:我在数据库中有一条记录:[Example] Attena Illusive - 01 [720p].mkv尝试使用查询进行搜索: SELECT ts_rank_cd(to_tsvector('
javascript - 将outerHTML 视为 jQuery 对象
我试图创建 2 个简单的盒子，并允许用户从 1 个盒子中选择数据，然后将其复制到第二个盒子。如果第二个框中已经有相同的文本，请在后面附加一些简单的文本。它基本上在该项目不在第二个框中时起作用。但是，
java - 将 jar 视为 zipper
这个问题已经有答案了: How to read a file from jar in Java? (6 个回答) 已关闭10 年前。我想从我的 *jar 存档中读取文件。我在互联网上阅读了如何从 z
javascript - If 语句将 true 视为 false
我在 Javascript 中偶然发现了一个我无法理解的极其奇怪的事件。这是一个非常简单的 if 语句: let hours = 20; 我在这里设置了一个断点，并在调试器中设置了hours = 0
MySQL 将 ÅäÖ 视为 AAO？
这两个查询给出了完全相同的结果: select * from topics where name='Harligt'; select * from topics where name='Härligt
Postgresql - 求和时如何将 NaN 视为 0？
我有一个包含数值和 NaN 的表格。求和时，如果所选值包含 NaN，则结果将为 NaN。有没有办法让 postgresql 在求和时将它们视为 0 而不是 NaN？或者我只需要将表中的所有 NaN 转
javascript - 滚动时将每个 div 视为 "page"
我有一个正在构建的页面，我希望当我滚动(向上或向下)页面时滚动到下一个 div(每个 div 是窗口高度的 100%)。并在那里“固定”，直到您再次滚动。可以在此处看到我正在努力完成的示例: http
javascript - 浏览器是否将 localStorage 视为 cookie
我正在用 Javascript 制作一个小的 HTML 页面。它不需要服务器端，但我需要存储这个人所做的事情，所以我正在使用 localStorage。( list ) 如今，浏览器可以选择不存储 c
MySQL 将 ÅÄÖ 视为 AAO？
这两个查询给了我完全相同的结果: select * from topics where name='Harligt'; select * from topics where name='Härligt
lua - 将 userdate 视为 Lua 中的表
我想向 Lua 公开一些 C++ 类。我可以调用Widget:New()获取带有元表集的返回用户数据到表 WidgetMeta . WidgetMeta包含所有 C++ 函数，它是 __index设置
hibernate - 将 '0' ,"-1"视为 Null
我正在使用一个大型的旧数据库，现在我尝试使用 hibernate 而不是 SQL 来访问它。更大的问题之一是在外键中无限制地使用“0”和“-1”(意思是“NULL”)。我生成了很多代码，但我手动添加
c++ - _stprintf_s 将 "10"视为 "1"
我试图将一个数字传递到一个 BYTES 数组中 - 但将该数字视为一个字符数组。这是我的代码: for(int i=1;i<=totalFiles;i++) { BYTE* input = n

首页

博学

6Ren·AI

商城

c++ - 为什么 Avira 将 "CoCreateInstance()"视为恶意软件？