Skip to content

关于部分杀毒软件对TRCLI中的unrar.exe报毒的说明

今天有人告诉我下载的TRCLI中有病毒,我第一感觉是:难道部分文件被感染了?经过询问是unrar.exe这个文件。这个文件是用于解压rar格式的压缩包的,最新版文件的下载地址是:
http://www.rarlab.com/rar_add.htm
绝对地址:
http://www.rarlab.com/rar/unrarw32.exe
MD5是:
e866042f716e125ac3996d08d64cc836
unrar_md5.jpg
下载TRCLI中使用的文件的MD5是:
dcaef2663815b49abbfb482f43958477

TRCLI中使用了一个旧的版本,我已经找不到下载地址了,所以以最新版文件来做说明。我在发布TRCLI的时候,已经使用UPX把unrar.exe压缩过。UPX是一个开放源代码的可执行文件压缩软件,官方地址是:
http://upx.sourceforge.net
下载最新的版本是3.03,我下载了win32版本,MD5是:
bf1b3a4559e250e0fad9d7c138020982
upx_md5.jpg
我直接怀疑是因为UPX压缩的原因导致杀毒软件报毒的,所以就按照以下步骤验证:

1.利用多引擎扫描网站验证从官方网站下载的unrar.exe,结果如下:
unrar_webscan.jpg

2.利用多引擎扫描网站验证从官方网站下载的upx.exe,结果如下:
upx_webscan.jpg

3.使用UPX压缩unrar.exe
upx_unrar.jpg
压缩后的MD5:
8ccda4b6e7d30d37d1999d740b657e38
upx_unrar_md5.jpg

4.利用多引擎扫描网站验证经过UPX压缩的unrar.exe,结果如下:
upx_unrar_webscan.jpg

结论:部分杀毒软件认为被UPX压缩过的文件是病毒,但实际上这些文件是没有任何问题的。

This was written by max. Posted on 星期二, 八月 11, 2009, at 9:52 下午. Filed under 自制关卡. Bookmark the permalink. Follow comments here with the RSS feed. Post a comment or leave a trackback.

Post a Comment

Your email is never published nor shared. Required fields are marked *
*
*