恐怕您编译的二进制文件与可以在野外找到的实际恶意软件有很大不同。不同的编译器和命令行标志将生成完全不同的二进制文件，恶意软件二进制文件可能会使用其他工具甚至手动进行进一步优化/混淆。

将您编译的二进制文件提交给他们可能会适得其反，只会浪费每个人的时间。相反，如果您不能直接提交源代码文件（因为他们的表单需要二进制文件等），请尝试与人取得联系并提供源代码。

我应该把它放在我的 IDE 中，构建它，然后将构建的版本发送给他们

这不是一个好的选择。除非有理由相信恶意软件作者和你有一个共同的开发环境，反病毒供应商无法合理访问，否则反病毒供应商可以自己做这件事，如果他们认为这会有所帮助，他们会这样做。很有可能他们可以更好地考虑这个问题，“发布的恶意软件可能是什么样子，我们如何检测我们可能会看到攻击此漏洞的各种恶意软件？” 比你能做的，因为这完全在他们的工作范围内。

考虑一下：在您手中，由于您没有恶意，这将成为概念证明漏洞利用代码。它可能是恶意软件，您自己并没有发现漏洞，但撇开信用和优先级的细节不谈，您在披露方面与您自己发现漏洞的情况基本相同并编写了这段代码来证明它是可利用的。

至少你应该：

• 在线搜索可识别的短代码部分，以确保此特定源代码尚未发布。我知道您已经得出了其他结论，但我无法摆脱这种烦人的感觉，即这可能是概念证明漏洞利用代码而不是恶意软件。

• 通过此代码利用的“安全程序”供应商的漏洞披露过程。如果他们没有流程，请发送电子邮件或以其他方式联系他们并询问。在这个过程中尽你所能传达你的结论，即针对该漏洞的有效利用已经在野外。

• 如果没有得到满意的回应，那么就去找一个或多个 AV 供应商。了解您选择的供应商希望如何接收恶意软件提交或使用现有的联系方式列表。由于这是一个有点不寻常的情况，因为您有要提交的源，而不仅仅是恶意二进制文件，我建议倾向于任何看起来可能在另一端可能有人的东西。

• 不要只关注你碰巧使用的 AV：如果你能说服任何（主要的）AV 供应商认识到这个问题，那么包括你在内的其他人都会效仿。更大的 AV 供应商也更有能力说服有缺陷软件的供应商采取措施，而不是冒犯你，一些随机的人。如果您可以从新闻报道中识别出之前发现同一软件或同一供应商的软件存在缺陷的任何安全研究人员，请将他们包括在您的联系人列表中。他们已经处理了未能让您满意的披露过程。

• 如果仍然没有得到满意的响应，那么作为绝对最后的手段，如上所述提交可疑恶意软件的编译二进制版本[*]，并希望他们提交的二进制文件的例程比他们对源代码所做的工作做得更好。

[*] 你已经编译了它，所以这艘船已经航行了，因为它可能会利用你的编译器以及利用这个安全程序的代码。就此而言，它可能会利用您的文本编辑器，而您已经使用它查看过它。它可能会利用您的网络堆栈，而您已经下载了它。这就是生活。

处理恶意软件文件最常见的解决方案是压缩它们（例如压缩文件）。但是，由于现在许多 AV 工具会查看档案内部，因此您可能需要阻止自动检查的尝试——最简单的解决方案是在 zip 文件上输入密码（对内容进行加密）。

通常，密码与恶意软件样本一起分发，因为您试图阻止它被机器打开，而不是被人类打开。密码通常是某种警告文本，例如“恶意软件”或“这是病毒”或其他内容，以便让任何人都清楚地知道内容可能是有害的。

我不知道您要将其发送给哪个 AV 供应商（实际上，我不确定您为什么要将提交限制为单个 AV 供应商）

您需要做的是与 AV 供应商联系。他们将有一些电子邮件/邮件列表/论坛/聊天......可用。说明您有恶意源代码并希望将其提交给他们。您的问题在于将文件交给人（假设没有人会仔细查看提交给他们的不可执行的二进制文件，这似乎是他们的错误），或者有时，交给正确的部门，这将然后确保它到达正确的人。

请注意，尽管您找到的源代码可能不是恶意的，但他们的分析师忙于处理您的样本（但请确保他们将其存档以防将来有用），或者 AV 公司甚至可能不会打扰（毕竟，他们没有义务查看您提交的内容）。