我编写了这个程序:
#include <stdio.h>
main()
{
int n;
n=1;
while (n>0)
{
puts("Write a number: ");
scanf(" %d",&n);
printf("This is the number you wrote: %d\n", n);
}
}
显然没有任何语法错误或编译错误。它已经编译且构建完美。
现在,如果我更改这行:
puts("Write a number: ");
使用这个:
printf("Write a number: ");
编译没有错误,但当编译后的对象启动时,立即停止,并弹出反病毒警告,说它发现了特洛伊木马。在得出任何结论之前,我建立了几次,并在收到相同消息后在virustotal.com上扫描了它,并获得了这个结果。
虽然从目的上来说,puts比printf更正确,但仍然应该可以正常工作。
问题出在哪里?
我正在使用AVG防病毒软件和Pelles C编译器。
这显然是误报。生成的机器代码恰好与恶意软件数据库中的代码相似,与使用puts()无关。
杀毒软件通过病毒签名来工作,这些签名基本上是病毒软件中已知的可执行代码模式。
一些野生病毒与你编写的printf版本的代码有相似的模式(我搜索了所有标记你为病毒的人,不幸的是他们没有公布他们的签名文件在检查什么)。由于你永远不应该使用单个参数调用printf,许多杀毒软件提供商可能将其作为其签名过程的一部分。
你有两个选择:不要使用单个参数调用printf(无论如何都不应该这样做),或者将您的程序提交为虚警给杀毒软件供应商,并更新他们的签名以排除您的程序虚警。
puts),我会使用那个替代方案。 - Scott Chamberlainn,这将导致未定义行为。 - chux - Reinstate Monicaprintf()存在未受控制的格式化字符串安全风险。
应该使用puts()。
同时发现:
请参阅C语言中printf()和puts()有什么区别?中的评论。
关于使用printf而不是puts的注意事项:永远不要使用printf(variable)来打印字符串。使用puts(variable)或printf("%s', variable)。使用变量格式字符串存在安全风险:如果变量可以被攻击者写入,他们可以通过使用格式字符串攻击程序。- Zan Lynx Dec 1 '12 at 9:05