问题标签 [malware-detection]

我试图要求对我制作的网站进行恶意软件审查，但谷歌网站管理员工具有以下消息：

安全问题 我们没有在您的网站上检测到任何安全问题。如果您需要有关与您的网站相关的安全问题的更多信息，请查看我们的有关被黑网站的资源。

虽然我的网站说我有恶意代码。

有人知道程序吗？

越来越多的用户（我管理一个法国博客平台）抱怨我们界面上的错误。在 90% 的情况下，问题来自安装在用户浏览器上的扩展程序。用户通常甚至不知道他们有这些扩展。

例如，Avast 删除了共享按钮（Twitter、FB），以及一些扩展，如 Pricepeep、Slick Saving、Deaply Shopping、VideoFileDownload 或 Pricora，它们完全搞砸了我们的界面。

问题是用户认为这是我们的错，然后没有进一步调查就退出了:-(

您是否有阻止或检测部分或全部不良浏览器扩展的神奇解决方案？提前致谢！

几天前，我注意到我服务器上的几乎所有 php 文件都感染了一些加密代码，并且几乎每个文件都不同。以下是其中一个文件的示例：

http://pastebin.com/JtkNya5m

谁能告诉我这段代码做什么或如何解码？

是否可以在 Android 平台上反编译 APK 包或 DEX 文件？有没有可以反编译APK文件的工具？

If this is a newby question, forgive me. I have coded a php file uploader. After hearing that hackers could attatch/disguise code to images to infect sites, I got an idea to solve that problem. To convert the upload image to another file format (png) and then to another (jpg) with 70% quality. This caused the malware to become corrupted. The problem is, this total conversion process takes a about 1 minute at top speed. The service I'm making needs to be quick to handle the file uploads so that the users can go about the work. How can I speed up this process? The upload code is below (important variables are blanked).

These are the steps it follows:

1. Scan database for file with the same name
2. if file with same name is found, rename the current upload
3. receive the file
4. "evaluate" the file (the double conversion process to protect the server)
5. insert the info into the uploads database

If any other codes are needed (or if i should do some more timing) please let me know. Thanks in advance for your assistance.

所以这是我正在学习的逆向工程入门课程。

所以我有两个文件是同一个程序，一个应该有木马。

我查看了这两个文件，发现了一些非常奇怪的东西。但是，我没有理由说明为什么会发生这种情况。

1. PE头不同。在 DOS 标头中的一个文件中，PE 标头位于偏移量 F0 处，另一个位于 F8 处。为什么？我真的不明白。为什么有人会将 PE 标头更改 8 个字节？
2. 我注意到代码入口点也不同。这是否意味着程序的开头正在跳转到其他地方，这意味着两个程序都从不同的位置运行。
3. 我注意到所有的 RVA 都说出口或进口表已经增加或向上移动了。我认为这是因为 PE 标头移动了 8 个字节，因此文件中的其他所有内容也会向上移动。
4. 代码值的大小不同，因为我发现一个文件比另一个文件大一点。时间戳也不同，这意味着文件必须已被编辑。
5. 其中一个文件具有导入符号 execve，而另一个则没有。不知道这个符号有什么作用？

最后，我认为出口符号中的 1 个具有跳跃等，而另一个则没有。这意味着它正在做不应该做的事情。

无论如何，这些是我注意到的一些观察结果。我只需要帮助理解这些观察可能意味着什么。

谢谢。

一个菜鸟逆向工程师。

在我们的客户站点中，我们在其中一个具有 swf 文件的页面中获得了Avast JS:Pdfka-PK 。而 avast 根本不允许我们打开这个页面。我已经花了一整天的时间，不确定问题出在哪里。

任何帮助是极大的赞赏。提前致谢。

我正在使用 Mac Mountain Lion 和 Chrome 33 以及 Avast 最新版本。

更多谷歌搜索我发现这个链接是的，我们从远程服务器下载一些文件并显示。但那些文件是无害的，想知道如何克服这一点。

对于分散的细节，我深表歉意。

以下是我的最新发现。

以下是给出 Avast 警告的代码。

如果我们使用 jQuery.min.js，如果我使用 jQuery.js，Check parent 之后的行会发出 Avast 警告，但我不会收到 Avast 警告。如果我使用 YUI 压缩器在线压缩 jQuery.js，我不会遇到 Avast 的任何问题。

我还尝试在代码中引入大量字符串协调，但仍然收到 Avast 警告。

我想知道为什么当我使用 jQuery.min.js 时会收到 Avast 警告，这是由 jQuery 给出的，但在 jQuery.js 中没有。

这真的很奇怪。

我试图在我的网站（Joomla 1.5.26）中发现恶意软件感染，但我找不到任何可疑的东西。

在几个地方在线扫描，也在文件系统中搜索！

有任何想法的人为什么我的防病毒软件 (avast) 一直告诉我该网站已被感染？实际上，它在特定模块加载的几个图像上发现了 JPG:PHPAgent-A [Trj] 威胁（我已经检查过是否感染！）

这是一个链接：http ://syroshouse.gr/index.php?option=com_content&view=article&id=3&Itemid=3

我真的很想知道为什么.htaccess下面有这些代码，能告诉我这段代码是什么吗？

我想开始一个项目，技术上基于另一个项目的代码——一个克隆。例如，论坛或在线商店，等等。我将购买代码库。但是从理论上讲，开发人员/卖方能够远程操作某些东西，例如导出客户数据库或只是更改/删除带有代码的文件并使代码无用，如果他愿意的话，这在理论上是可能的。

在这种情况下，有什么策略（也许是最佳实践）来保护自己？