Émuler un comportement semblable à un virus?
https://stackoverflow.com/questions/837248
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianQuestion
Je cherche un moyen d'imiter un comportement semblable à un virus pour tester les exclusions dans les logiciels anti-virus. Quelqu'un peut-il recommander un comportement que je peux mettre en place dans un script rapide qui déclencherait un scanner antivirus en temps réel typique?
La solution
La plupart des programmes antivirus fonctionnent sur une base de données de signatures et non sur une détection heuristique. Par conséquent, la plupart d'entre eux ne remarqueront rien du tout, sauf si vous écrivez un programme avec la même signature que celle qu'ils recherchent.
Si vous disposez d'un programme de détection basé sur une méthode heuristique, essayez un comportement antivirus évident, comme la modification des paramètres contrôlant le lancement des programmes au démarrage, la recherche de processus pour les noms de programmes antivirus courants, etc. Vous pourrez peut-être consulter la documentation. votre programme spécifique et découvrez exactement les méthodes heuristiques utilisées pour détecter et détecter les virus en fonction de leur comportement. Il sera assez difficile de trouver une utilisation utile en se débarrassant simplement de "un virus pourrait faire quelque chose comme ça" comportements aveuglément.
Autres conseils
Recherchez-vous quelque chose comme le fichier de test Eicar ?
Si vous souhaitez coder à la main un comportement ressemblant à un virus, je peux vous dire que j'ai eu des problèmes avec les applications anti-virus et le LowLevelKeyboardProc () et SetWindowsHookEx () . Si l'application antivirus utilise des méthodes heuristiques, elle met généralement en garde contre les actions analogues à celles d'un enregistreur de frappe.
En 2000, il y avait le virus ILOVEYOU qui n'était qu'un bogue d'amour. qui a écrasé des fichiers sur la machine infectée avec des copies de lui-même et lui a envoyé un courrier électronique via Outlook. Le trou dans Outlook a été corrigé, mais la partie concernant la copie sur tous les fichiers d’une extension spécifique est une bonne heuristique à essayer de copier.
Voici un article intéressant sur la détection basée sur le comportement. Il est ancien, mais il semblerait que ce soit peut-être ce que vous cherchez à faire.
http://www.securityfocus.com/infocus/1557
Vous pouvez également consulter SARC (Symantec Antivirus Centre de recherche). Si vous examinez certaines des menaces les plus récentes, les détails techniques et les instructions de suppression vous en apprennent plus sur ce qu'elles font lorsqu'elles infectent le système.
Voici un exemple:
http://www.symantec .com / business / security_response / writeup.jsp? docid = 2009-050707-0639-99
