模仿病毒般的行为?

时间:2009-05-07 21:57:09

标签: antivirus virus emulation

我正在寻找一种模拟病毒式行为的方法来测试反病毒软件中的排除项。任何人都可以推荐一些我可以用快速脚本放在一起的行为,这会触发一个典型的实时反病毒扫描程序吗?

4 个答案:

答案 0 :(得分:7)

您是否正在寻找类似Eicar test file的内容?

如果您想手动编写类似病毒的行为,我可以告诉您,我在使用反病毒应用程序以及LowLevelKeyboardProc()SetWindowsHookEx()功能方面遇到了麻烦。如果反病毒应用程序使用启发式扫描,它通常会警告类似键盘记录程序的操作。

答案 1 :(得分:4)

大多数防病毒程序在签名数据库上工作,而不是启发式检测,因此除非您编写的程序与他们正在查找的程序具有相同的签名,否则大多数防病毒程序都不会注意到任何内容。

如果您确实有基于启发式的检测程序,只需尝试一些明显的病毒行为,例如修改控制启动时启动的程序的设置,检查常见防病毒程序名称的进程等。您可以查找文档您的具体程序,并找出它用于尝试根据行为检测病毒的确切方法。通过盲目地解雇“病毒可能做类似这样的行为”来找到很多用处是非常困难的。

答案 2 :(得分:1)

早在2000年就有了ILOVEYOU病毒(爱情小虫),它只是一个VBScript,用自己的副本覆盖受感染机器上的文件,并通过Outlook通过电子邮件发送出去。 Outlook漏洞已经修复,但关于在特定扩展名的所有文件上复制自身的部分是尝试复制的好试探法。

答案 3 :(得分:1)

这是一篇关于基于行为的检测的有趣文章,它虽然陈旧,但听起来可能就是你想要做的事情。

http://www.securityfocus.com/infocus/1557

另外,您可能需要查看SARC(赛门铁克防病毒研究中心)。如果您查看一些最新的威胁,技术细节和删除说明会让您了解它们在感染系统时所执行的操作。

以下是一个例子:

http://www.symantec.com/business/security_response/writeup.jsp?docid=2009-050707-0639-99