作为大学课程的一部分,我最近开始研究 rookits 和 bootkits。我编写了一个非常基本的 rootkit,它允许发现 NTFS 文件系统。
问题是编译后我的防病毒软件(Windows Defender)立即标记并删除编译的调试文件。我知道我可以将整个文件夹添加到 WD 中的排除项,但只是一个兴趣点,我想知道是否有一种方法可以防止 rootkit 开发文件夹/文件被所有(或最高级)防病毒程序扫描而无需必须处理个别案件。
我遇到了几种方法。一种是使用文件夹锁或类似程序在旅途中锁定文件夹。这在某些方面确实有效,但更强大的防病毒软件(如卡巴斯基)仍然可以检测到文件。然后,我编写了一个程序,通过将 MFT 参考编号更改为 12,同时代码已经加载到 VS Studio 中,将 exe 文件转换为 NTFS 文件系统。这可以防止所有杀毒软件检测到文件,但同时断开了文件在 VS Studio 中的加载(Gave me data corruption),所以我觉得这种方法有点太硬核了。
我也经历了更改权限,但不确定它应该有多实用。
简而言之,关于防止文件/文件夹被防病毒软件扫描同时仍然能够被操作系统使用的任何其他想法(仅用于教育目的)?
如果问题不清楚,请道歉,我确实觉得这些话有点混乱。