最近更新于 2025-08-21 12:22
项目地址:https://github.com/ElektroStudios/Easy-Link-File-Viewer
我用到的一个工具里面的快捷方式文件被火绒报毒,所以我就想看看这个快捷方式里到底写了什么。
我就找到了 Easy-Link-File-Viewer 这个工具,用它打开报毒的文件,看了下内容倒是没问题。就是调用 powershell 执行一个脚本文件罢了,这个脚本文件是内容我确定是没问题的。或许火绒是一棒全打死的策略,因为脚本存在恶意操作的风险(Windows 默认执行策略都是禁止运行 powershell 脚本的),就把包含执行 powershell 脚本的快捷方式直接干掉。
我自己创建了一个快捷方式进行测试:它执行一个空的 powershell 脚本文件,火绒也是马上报毒。这就证实了我的猜想,只要快捷方式包含隐藏执行脚本文件,就直接报毒,而不会分析实际执行的脚本文件是不是会进行恶意操作。
工具推荐:Windows 快捷方式文件编辑器【Easy-Link-File-Viewer】