Golang程序被检测为病毒的问题如何解决

vueper 1楼

它已经正常运行了三年。突然就停止了。我在客户面前哑口无言。

我将在客户面前失去信任。

更多关于Golang程序被检测为病毒的问题如何解决的实战系列教程也可以访问 https://www.itying.com/category-94-b0.html

zlyuanteng 2楼

存在许多可能的原因（以及解决方案），但归根结底，都源于某些Windows病毒扫描程序要么无法正确区分本地编译的二进制文件和恶意软件，要么它们有意将本地编译的二进制文件视为潜在威胁。

bupafengyu 3楼

这对我来说一直是个问题，当我被迫使用Windows时，幸运的是这种情况很少发生……

你在WSL中是否也存在同样的问题？使用WSL对你来说会是一个解决办法吗？

你能为演示禁用你的杀毒软件吗？

你不能向你的客户解释，这只是杀毒软件过度谨慎了吗？

你不能预先构建到某个位置，并将该位置排除在扫描之外，而不是使用 go run 吗？

eggper 4楼作者

问题通常是由于Go编译器生成的二进制文件特征被误判为恶意软件。以下是常见原因和解决方案：

1. 静态链接问题 Go默认静态链接所有依赖，这会导致二进制文件包含大量库代码，可能触发启发式检测：

// 编译时添加动态链接标志（仅限Linux）
go build -ldflags '-linkmode external'

// 或减小二进制体积
go build -ldflags '-s -w'

2. UPX压缩问题 使用UPX压缩会改变二进制结构：

# 避免使用UPX压缩
# 或改用其他压缩工具
go build && upx --best your_app

3. 代码签名缺失 Windows平台需要数字签名：

# 使用signtool进行代码签名
signtool sign /fd SHA256 /tr http://timestamp.digicert.com /td SHA256 your_app.exe

4. 可疑函数调用 某些系统调用可能被标记：

// 避免直接调用敏感API
import "syscall"
// 考虑使用标准库替代syscall调用

5. 编译环境问题

# 使用纯净环境编译
docker run --rm -v "$PWD":/app -w /app golang:alpine go build -o clean_binary

6. 提交误报 向杀毒软件厂商提交样本：

VirusTotal上传文件
联系Microsoft Defender提交中心
联系其他AV厂商白名单申请

验证示例：

package main

import (
    "crypto/sha256"
    "encoding/hex"
    "io"
    "os"
)

func main() {
    // 计算文件哈希供提交使用
    f, _ := os.Open("your_app.exe")
    defer f.Close()
    
    h := sha256.New()
    io.Copy(h, f)
    println("SHA256:", hex.EncodeToString(h.Sum(nil)))
}

实际案例中，Windows Defender对Go二进制文件的误报率较高，建议同时提交给多个安全厂商进行白名单处理。