https://stackoverflow.com/questions/837248
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
Russian题
我正在寻找一种模拟病毒式行为的方法来测试反病毒软件中的排除项。任何人都可以推荐一些我可以用快速脚本放在一起的行为,这会触发一个典型的实时反病毒扫描程序吗?
解决方案
大多数防病毒程序在签名数据库上工作,而不是启发式检测,因此除非您编写的程序与他们正在查找的程序具有相同的签名,否则大多数防病毒程序都不会注意到任何内容。
如果您确实有基于启发式的检测程序,只需尝试一些明显的病毒行为,例如修改控制启动时启动的程序的设置,检查常见防病毒程序名称的进程等。您可以查找文档您的具体程序,并找出它用于尝试根据行为检测病毒的确切方法。通过点燃<!>来找到很多用处是非常困难的;病毒可能会做这样的事情<!>盲目行为。
其他提示
您是否在寻找 Eicar测试文件之类的内容?
如果您想手动编写类似病毒的行为,我可以告诉您,我在防病毒应用程序和 LowLevelKeyboardProc()和 SetWindowsHookEx()函数。如果反病毒应用程序使用启发式扫描,它通常会警告类似键盘记录程序的操作。
早在2000年,有一个 ILOVEYOU 病毒(爱虫),这只是一个VBScript用自己的副本覆盖受感染机器上的文件,并通过Outlook通过电子邮件发送自己。 Outlook漏洞已经修复,但关于在特定扩展名的所有文件上复制自身的部分是尝试复制的好试探法。
这是一篇关于基于行为的检测的有趣文章,它虽然陈旧,但听起来可能就是你想要做的事情。
http://www.securityfocus.com/infocus/1557
另外,您可能需要查看 SARC (Symantec Antivirus)研究中心)。如果您查看一些最新的威胁,技术细节和删除说明会让您了解它们在感染系统时所执行的操作。
以下是一个例子:
http://www.symantec的.com /商业/ security_response / writeup.jsp?文档ID = 2009-050707-0639-99
