问题标签 [antivirus]

我正在构建一个允许用户上传文件的门户。我需要确保这些文件不包含病毒。我理想的解决方案是让主机 OS AV 监视临时文件夹并扫描任何传入的文件。

在 ASP.Net 2 中上传文件时，它是写入临时文件夹中的磁盘，还是保留在内存中？如果写入磁盘，IIS 会锁定它以使 AV 无法删除它吗？如果它被写入磁盘，在哪里？

我想以编程方式测试文件中的病毒。

我知道这个线程，我认为它没有得到令人满意的答案，但我不是在这里寻找 API。任何可以测试文件的解决方法都可以。

当然，API 可能是最好的解决方案（我在 Windows 平台上使用 .net），但也许可以将文件放到文件夹中，然后检查我是否仍然可以打开它或者它是否已经打开被杀毒软件隔离。

有人遇到过同样的情况吗？

I am working on a project that will involve file upload to a server. I am interested in understanding what kinds of files virus writers currently tend to target. I am aware of the following threads:

How would you programmatically test a file for viruses ? ensuring uploaded files are safe How can I determine a file’s true extension/type programatically? Server side virus scanning

But am interested in general in finding out about common attack vectors.

EICAR 测试病毒用于测试反病毒程序的功能。为了将其检测为病毒，

防病毒程序是否应具有测试病毒的病毒定义

或者

启发式将其检测为可疑模式并将其检测为病毒。

（我见过一个 AV 程序在下载时删除文件但没有将病毒识别为 EICAR 测试病毒的情况。就像一个可疑对象--> 即如果它有定义它应该识别病毒名称、详细信息等不是'是吗？）

当我混淆我的应用程序时，防病毒软件会为混淆的应用程序发出病毒警报。

我能做些什么来避免这种情况？

我在 Windows XP Professional 上使用 Visual Studio 2008 和 .NET Reactor 3.9.8.0。

Windows 和应用程序是最新的，并且防病毒软件在运行完整扫描时什么也找不到。

编辑：Avast Antivirus 发出警报。MS Forefront 没有。

编辑 2：更改控制流混淆级别修复了它。

根据http://support.microsoft.com/kb/883792，MS可以使用 WMI 或涉及 MS 知道的注册表项的手动方法检测已安装的 AV。是否有 API 可以访问此功能？

我们的网络人员坚持在所有服务器上安装防病毒 (eTrust) 软件，包括我们所有的 SQL Server 2005 机器。我怎样才能最好地证明这会损害性能？

我正在寻找一种方法来模拟类似病毒的行为，以测试防病毒软件中的排除项。谁能推荐一些我可以放在一个快速脚本中的行为来触发典型的实时反病毒扫描程序？

这几天我一直在追一个非常神秘的错误，它似乎围绕着（ZLIB 库）；它每月左右发生一次，并且仅在某些特定的生产环境中发生。以下是代码的作用：

1. 程序调用gzopen写入文件X。
2. 程序将数据写入文件，执行几个gzwrite.
3. 程序最终调用gzclose它刷新文件。

通常，一切正常，文件X有效；它以 CRC 和源流的长度正确终止。

但是，在其中一个故障中，我观察到这X是损坏的：数据的开头是正确的，但是从 offset 开始0x00302000，每个字节都是空的。即使是编码 CRC 和长度的最后八个字节也为零。但是，该文件具有正确的大小！更糟糕的是：同一个系统在几分钟前成功压缩了一个非常相似的文件。

注意：我们使用的 ZLIB.DLL 版本为 1.1.3；是的，我知道，它包含一些安全漏洞，我们应该升级到最新的 ZLIB 1.2.3，但在找到归零的原因之前，我不想更改我的设置中的任何内容。

我认为我已经排除了内存损坏（顺便说一下，损坏的内存堆怎么会干扰fwrite到它只向输出流写入零？这是否合理？），打开/写入/关闭流的循环很简单，没有发现我能发现的任何缺陷，代码不会分配/释放/弄乱 ZLIB 中的结构（这可能是个问题，因为 ZLIB 链接到另一个 C 库而不是我的应用程序 DLL），所以我只能怀疑系统中的其他元素。

不知何故，我倾向于对 C 库 (CRTDLL.DLL)、Win32 API、NTFS 堆栈、I/O 堆栈、低级设备驱动程序、硬盘固件和硬盘本身充满信心......是的，我也倾向于相信 Visual C++ 2008 会生成正确的二进制文件，至少在这种情况下是这样 ;-)

那么，我是否正确怀疑杀毒软件可能是罪魁祸首？ZLIB 应该谨慎，因为至少 Kaspersky 将 DLL 识别为可能的威胁。但是，如果（错误地）发现感染，杀毒软件只写零而不是数据在政治上是否正确？或者这可能是防病毒软件中的错误？

还是我完全错过了重点？

我正在用 C# 制作我的第一个 Windows 服务，目前这是一个看起来很天真的东西，还没有做任何事情。

但是，我发现当我尝试安装它时，无论是使用 Visual Studio 中的标准安装项目，还是使用此处概述的简单“自安装程序” ，我们公司的防病毒软件都不允许安装，因为它是一个“看起来很可疑的服务”（ HIPS/RegMod-013)。

现在，我安装的所有其他第三方服务中的服务都不会发生这种情况。我的服务有什么可能使它看起来可疑？我也尝试对程序集进行签名（仅使用 VS 生成的密钥文件），但没有运气。

还有其他人经历过吗？有任何想法吗？