Emulando-vírus como comportamento?
https://stackoverflow.com/questions/837248
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianPergunta
Eu estou procurando uma maneira de imitar-vírus como o comportamento para testar exclusões no software anti-vírus. Alguém pode recomendar alguns comportamentos que eu possa colocar juntos em um script rápido que provocaria um scanner típico em tempo real anti-virus?
Solução
A maioria dos programas antivírus trabalhar em um banco de dados de assinatura, não detecção heurística, então a maioria deles não vai notar nada menos que você escrever um programa com a mesma assinatura como um que eles estão procurando.
Se você tem um programa de detecção baseada em heurística, apenas tentar algum comportamento vírus óbvio como modificar as definições que que programas de controle iniciar na inicialização, processos para nomes de programas comuns de antivírus, etc. verificação Você pode ser capaz de olhar para cima documentação para o seu programa específico e descobrir exatamente o que heurísticas ele usa para tentar detectar vírus com base no comportamento. Vai ser muito difícil de encontrar muito de uso por apenas disparar "um vírus pode fazer algo assim" comportamentos cegamente.
Outras dicas
Você está procurando algo como o Eicar arquivo de teste ?
Se você quiser mão-code-vírus como comportamento, posso dizer-lhe que eu tive problemas com aplicativos anti-vírus e o LowLevelKeyboardProc () e SetWindowsHookEx () funções . Se o aplicativo anti-vírus usa heurística, que normalmente adverte sobre keylogger-like ações.
Em 2000 houve a ILOVEYOU vírus (erro do amor), que era apenas um VBScript que os arquivos overwrote na máquina infectada com cópias de si mesmo e enviado-se para fora através do Outlook. O buraco Outlook foi corrigido, mas a parte sobre a cópia de si mesmo ao longo de todos os arquivos de uma extensão específica é uma boa heurística para tentar cópia.
Aqui está um artigo interessante sobre a detecção de comportamento com base, é antigo, mas parece que pode ser o que você está procurando fazer.
http://www.securityfocus.com/infocus/1557
Além disso, você pode querer dar uma olhada SARC (Symantec Antivirus Centro de Pesquisa). Se você olhar para algumas das ameaças mais recentes, os detalhes e as instruções de remoção técnica você na pista sobre o que fazer quando infectar o sistema.
Aqui está um exemplo:
http://www.symantec .com / negócio / security_response / writeup.jsp? docid = 2009-050707-0639-99
