我正在寻找一种方法来模拟类似病毒的行为,以测试防病毒软件中的排除项。谁能推荐一些我可以放在一个快速脚本中的行为来触发典型的实时反病毒扫描程序?
问问题
871 次
4 回答
8
您是否正在寻找类似Eicar 测试文件的内容?
如果您想手动编写类似病毒的行为,我可以告诉您,我在使用防病毒应用程序以及LowLevelKeyboardProc()和SetWindowsHookEx()函数时遇到了问题。如果防病毒应用程序使用启发式方法,它通常会警告类似键盘记录器的操作。
于 2009-05-07T22:11:25.463 回答
3
大多数防病毒程序都在签名数据库上工作,而不是启发式检测,因此大多数防病毒程序根本不会注意到任何事情,除非您编写的程序与他们正在寻找的签名具有相同的签名。
如果您确实有基于启发式的检测程序,只需尝试一些明显的病毒行为,例如修改控制启动时启动哪些程序的设置、检查进程以获取常见的防病毒程序名称等。您可以查找特定程序的文档并准确找出它用于根据行为尝试检测病毒的启发式方法。仅仅盲目地触发“病毒可能会做这样的事情”行为将很难找到很多用处。
于 2009-05-07T22:02:04.673 回答
1
早在 2000 年就出现了ILOVEYOU病毒(love bug),它只是一个 VBScript,它用自身的副本覆盖受感染机器上的文件,并通过 Outlook 将自身通过电子邮件发送出去。Outlook 漏洞已得到修复,但是关于在特定扩展名的所有文件上复制自身的部分是一个很好的尝试和复制的启发式方法。
于 2009-05-07T22:09:25.640 回答
1
这是一篇关于基于行为的检测的有趣文章,它很旧,但听起来这可能是您想要做的。
http://www.securityfocus.com/infocus/1557
您还可以查看SARC(赛门铁克防病毒研究中心)。如果您查看一些最新的威胁,技术细节和删除说明会提示您它们在感染系统时会做什么。
这是一个例子:
http://www.symantec.com/business/security_response/writeup.jsp?docid=2009-050707-0639-99
于 2009-05-07T22:44:02.497 回答