作为大学课程的一部分,我最近开始研究新手和启动程序。我写了一个非常基本的rootkit,可以发现NTFS文件系统。
问题在于,在编译我的防病毒软件(Windows Defender)之后,会立即标记并删除编译的调试文件。我知道我可以将整个文件夹添加到WD中,但是我只是想知道是否有一种方法可以防止rootkit开发文件夹/文件被所有(或最高级)防病毒程序扫描而无需必须处理个别案件。
我遇到了几种方法。一种是使用文件夹锁或类似程序随时随地锁定文件夹。在某些方面确实可以使用,但是像卡巴斯基这样的更强大的防病毒软件仍然可以检测到文件。然后,我编写了一个程序,通过将MFT参考号更改为12来将exe文件转换为NTFS文件系统,而代码已在VS Studio中加载。这样可以防止所有防病毒软件检测到该文件,但同时又断开了文件在VS Studio中的加载(使我的数据损坏),因此我觉得此方法有点过于严格。
我还经历了更改权限的过程,但不确定其实用性。
因此,总之,关于防止文件/文件夹被防病毒软件扫描但仍能被操作系统使用的其他想法(仅出于教育目的)?
如果问题不清楚,我很抱歉,我的确感到有些困惑。