书依旧不接上回哈哈，插队发一个东西吧，也不所属什么系列

鄙人技术浅陋，经网上四处观看浏览总结得此文，如有不足希望师傅们多包容⊙﹏⊙

没有好看封面图了，开始重复用了（

下面开始正文喵

依旧先叠甲：

本文所载网络安全技术仅为技术研究与学习之用，严禁用于非法攻击、侵入他人系统等违法违规行为。所有内容均需遵守国家相关法律法规，滥用所产生的一切法律责任，由行为人自行承担，与本文作者、发布者无关。

引例

如图，一个 exe 被误报了 QVM202 //至于是不是用在误报上，只能说懂得都懂

有个断句问题，究竟是 QVM202 . 0.6E19，还是QVM20 2.0.6E19，我也不知道喵（

不过看见这个 QVM20 或者 QVM202 ，大概率都可以用咱今天这集说的手法给他搞定

分析

先说一下这个告警的原因

QVM 就是 360 推出的一个人工智能查杀引擎，如果一个 PE 的特征拟合的置信度高了，就会报 QVM 系列的告警

当查杀病毒时，如果文件不在白名单之列，同时其他鉴定器也不能完全判断安全时，就是QVM发威的时候。所以，当查到病毒名为Malware.QVMXX.GEN时（XX为00到40任一数字，代表不同型号的QVM鉴定器，其中编号20出现频率比较多），就是QVM鉴定出来的结果

想解决也不难，不要让我们开发的软件很像恶意软件就行

去添加资源即可，如 exe 的图标 icon、详细信息、数字签名

但是据传说，QVM 已经可以识别假签名，如果添加的签名为从其他程序直接拷贝“抢”过来的，建议不要进行添加。添加后正常不杀的程序也会因为这一个点被报毒（无效的签名）

当当当当！

用两个工具喵

使用手法就不过多扯淡了，主要是针对今天的议题来看

正常我们写好了然后编译出来，排除了编译信息之类的东西之后（做静态）之后用工具打开会发现：

空的！对的，不是工具卡住了，是真的啥也没有（

接下来只需要用这里：

用这个Add from a Resource file，选择一个其他的软件，这里用下图这个：

搞安全的师傅应该不陌生这个软件，很著名的一个 LOLBINS 了

在工具里面选择这个 exe，然后把三个方框都勾选上，随后 import

就能把这个 exe 的 “衣服” 穿到我们自己的软件上了，然后再测试一下：

嗯哼~报毒告警消失了，如果软件本身的静态做的到位，就算是彻底 bypass 了喵