问题标签 [virus]

我正在寻找一种方法来模拟类似病毒的行为，以测试防病毒软件中的排除项。谁能推荐一些我可以放在一个快速脚本中的行为来触发典型的实时反病毒扫描程序？

我经常看到这种情况发生：我在 Delphi 中编写了一个应用程序，当我编译它时，病毒扫描程序告诉我我已经创建了病毒，然后立即再次删除了可执行文件。通过进行完全重建，首先删除 *.dcu 文件，有时只需等待，这很烦人但很容易解决。

据我所知，它发生在 Delphi 6、7、2005 和 2007 上。赛门铁克、卡巴斯基、迈克菲和 NOD32 都因报告这些误报而犯了罪。我知道这是因为 Delphi 在其 DCU 文件中添加了时间戳，这些时间戳最终出现在最终的可执行文件中，并且显然似乎是某些随机病毒签名的一部分。

我不想禁用病毒扫描程序，即使是单个文件夹或文件也不行。而且我并不是真的想要一个解决方案，但我想知道以下几点：

• 其他编译器也会出现这些误报吗？
• .NET 可执行文件也会发生这种情况吗？
• 其他人是否也注意到 Delphi 的类似问题？

浏览器（firefox/safari）如何检测您正在访问的网站被感染？

他们有黑名单吗？或者他们通过一些防病毒脚本运行 URL？或者幕后发生了什么？

防病毒、恶意软件、僵尸网络等正在成为我们日常生活中越来越大的一部分。是否有任何资源讨论创建防病毒工具、安全工具等？似乎是一个有趣的话题，但我无法找到任何真正的资源来参考以了解更多信息。

1. 建议？（好和坏？）

2. 我假设大多数用于此的语言是 C++ 或汇编？或者还有其他适合这类物品的吗？

我刚刚注意到最近升级的Take Command被报告感染了这种病毒，而最近几个小时对 NOD 的更新增加了检测该病毒的能力，这就是我意识到它的原因。在这种情况下，从我接受的答案中链接的文章的内容来看，它看起来像是误报。

尽管如此...

显然，该病毒仅在受感染的程序运行时才会运行，但它随后会尝试定位 Delphi 安装，找到 SysConst.pas 文件，并在其中添加必要的代码以使 Delphi 编译带有病毒的新程序。

然而，我没有在这台机器上安装 Delphi，所以至少应该让这个问题在这里变得很小，但是在工作中我们有几台安装了 Delphi 的机器。幸运的是，我的工作机器没有更新形式的 Take Command，但可以说没有很多其他用 Delphi 编写的程序，人们最近更新了......

所以，我想我会问。有没有人看到过受感染的 SysConst.pas 文件，并且可以提供一些不应该在其中的示例代码？这样我们就可以通过机器运行并确保我们没有问题？

意识到！在您居住的地方创建间谍软件、计算机病毒和类似的恶意软件可能是非法的，并且几乎每个人都认为这是极其不道德的。尽管如此，我还是需要提出这个问题，以提高人们对创建一个是多么容易的认识。在 W32/Induc-A 被一个想出一种令人讨厌的方式来传播它的人介绍给这个世界之后，我问这个问题。所以我想知道病毒是如何制造出来的，这样我将来就能识别它们！

最近发现了一种新病毒，它通过替换开发人员的库代码副本进行自我传播。实际上，通过 Delphi 4 到 7 的源代码。发生的事情是，有一种病毒在野外搜索计算机中名为 SYSCONST.PAS 的文件，它会将自己作为源代码添加到该文件中。该文件恰好是 Delphi 运行时库的源文件。（此运行时源代码可供 Delphi 开发人员使用。）因此，在被感染后，程序员会在不知情的情况下创建该病毒的许多新版本。由于病毒扫描程序有时会产生误报，因此许多开发人员可能会决定忽略扫描程序的警告，甚至可能在构建项目时禁用扫描程序。更糟糕的是，他们的项目甚至可能触发客户的扫描仪，所以这些程序员很可能会赢。t 检查他们的源代码，但会试图以某种方式欺骗扫描仪。也就是说，如果病毒扫描程序甚至能够识别病毒，这不太可能。因此，我们软件开发人员可能会在没有意识到我们在做什么的情况下制造病毒！

那么，如何制造病毒呢？很简单：让你的源代码被病毒感染，你就完成了！

好的，所以Delphi 4到7的源代码可能被感染了。所有 Delphi 开发人员，请检查您的源文件！该案例只是一个概念验证，显然它可以非常成功。此外，大多数病毒扫描程序不会检查源代码，而只关注可执行文件。这种病毒可能会在很长一段时间内未被发现。

该病毒之所以成功，也是因为它滥用了源代码。Delphi 是一个商业项目，源代码可用。但是谁能确定这些黑客不会以类似的方式攻击开源项目呢？那里有很多开源项目，谁来检查它们以确保它们都表现得体面？如果有人在检查代码，他能识别出是否是恶意代码吗？

因此，为了确保我们能够识别恶意源代码，我不得不问：如何创建病毒？如何识别会产生病毒的代码？大多数恶意软件想要做什么？

---

关于 Delphi 运行时源代码有一些讨论，关于该代码是否开源。从他们开始使用 Kylix 支持 Linux 的那一刻起，Borland 就为其源代码使用双重许可证。结果，源代码声明了一个“GPL”符号，指示库是否编译为 GPL 代码。作为 GPL，源代码将是开源的。这也恰好是被病毒攻击的源版本。无论如何，为了避免在这里讨论，我在这里问了这个问题所以我们可以更多地关注病毒问题而不是德尔福。基本上，我们谈论的是一种攻击源代码的病毒。从技术上讲，所有源代码都可能存在风险，但开源代码是一个可能的候选者，因为黑客知道它的结构并且可以针对那些很少修改、因此很少检查的文件。（而且如果他们可以侵入 CVS 系统，他们甚至可以抹去修改的痕迹，这样就不会有人注意到修改了！）

我用 C# 编写了一个使用 webbrowser 控件的应用程序。在使用它时，我碰巧使用它的网站上有一个自动 DLed 并在我的 comp 上运行的广告，这让我非常恼火。根据 safebrowsing.clients.google.com 2/5000 页面有这个漏洞，我不走运。

我使用 IE6 进行测试，所以如果不升级到 IE7+，我可以做些什么来保护自己免受这些病毒的侵害。将互联网安全设置为高可以解决问题吗？（似乎将每个选项都设置为禁用）

我想要一个 bash 脚本以递归方式读取目录中的所有文件并从中删除一些代码（即 iframe 病毒）并保存回原始文件。

我想知道浏览器是如何让病毒进入我们的计算机的。我们收到的响应是一个文本响应。响应中只有可执行的东西是没有太多权限的 JavaScript，是什么让浏览器更喜欢将某些文件传递给计算机？

我们有一个 asp.net 应用程序，允许用户上传文件，文件保存到临时磁盘位置，然后附加到记录并保存在数据库中。

我的问题与安全和/或病毒问题有关。这种方法是否存在任何安全漏洞？如果从不执行病毒是否会造成危害（文件被保存，然后使用文件流打开，转换为字节数组并保存到 DB。

稍后，当需要该文件时，我们将文件流式传输回给用户。

文件保存到 Web 服务器上的文件夹中，如下所示：

context.Request.Files[0].SaveAs(); （位置是 app_data/files 下的文件夹）

稍后当同一个用户创建记录时，我们从磁盘中获取文件并将其存储在数据库中，如下所示：

我们限制可以上传到此列表的文件：

该文件像这样流回用户的网络浏览器：