|
|
Регистрация Восстановить пароль |
Регистрация | Задать вопрос |
Заплачу за решение |
Новые сообщения |
Сообщения за день |
Расширенный поиск |
Правила |
Всё прочитано |
|
|
Опции темы | Поиск в этой теме |
20.08.2014, 17:28 | #1 |
xor esp, esp
Форумчанин
Регистрация: 11.02.2014
Сообщений: 135
|
Программа тестирования антивируса
Для начала: я эту тему под разными никами создавал и на других форумах, поэтому если где найдете - то это не копипаста от туда =D
Привет, уважаемые форумчане! Была раньше прекрасная тестовая программа EICAR, а почему бы такую же не сделать и сейчас, подумал я. В общем, написал программу, которая старается скрыто от антивирусов скопироваться в папку TEMP с именем "stdafx.cpp .exe" и запуститься от туда. Если ей это удается - она выдает сообщение об успехе, это значит, что ваша антивирусная защита не сработала. План: врубаем антивирус, врубаем программу, смотрим результат. Virustotal: https://www.virustotal.com/ru/file/c...1d43/analysis/ Если ваш антивирус не детектирует - не волнуйтесь, есть еще проактивная защита ( HIPS ), которой вирустотал не проверяет. Именно поэтому надо на компьютере. Если боитесь на хостовой машине - виртуальная система. Скачать: http://rghost.ru/57569332 https://www.sendspace.com/file/3h08k4 Исходный код для тех, кто уж совсем боится: Код:
Зачем я это создал? Да просто хочется чего-нибудь нового |
20.08.2014, 18:58 | #2 |
Старожил
Регистрация: 13.07.2012
Сообщений: 6,342
|
А зачем асемблером, если то же самое можно написать в 10 строчек на С?
И зачем копировать SelfCopy перед запуском? Последний раз редактировалось waleri; 20.08.2014 в 19:00. |
20.08.2014, 18:59 | #3 | |
xor esp, esp
Форумчанин
Регистрация: 11.02.2014
Сообщений: 135
|
Я хз как в 10 строчек, приведи код, пожалуйста, если не сложно. Мне многие вещи проще кодить на ассемблере)
Цитата:
Сейчас думаю автозапуск прикрутить, но детект сильно вырастит, из-за чего придется обходить АВ. Как думаешь, нужен тут еще авторан для теста? UPD: добавил автозапуск в HKEY_CURRENT_USER\Software\Microsof t\Windows\CurrentVersion\Run с ключем "Antivirus Test" и путем до копии файла в Temp Код:
https://www.virustotal.com/ru/file/0...is/1408550365/ У касперыча палит HIPS, Nod32 и DrWeb молчат, кто палит эвристикой видно на вирустотале. Последний раз редактировалось Malriser; 20.08.2014 в 20:06. |
|
22.08.2014, 12:29 | #4 | |
Старожил
Регистрация: 04.02.2009
Сообщений: 17,351
|
Цитата:
Маньяк-самоучка
Utkin появился в результате деления на нуль. Осторожно! Альтернативная логика |
|
22.08.2014, 12:34 | #5 |
Старожил
Регистрация: 13.07.2012
Сообщений: 6,342
|
|
30.08.2014, 01:59 | #6 | |
Старожил
Регистрация: 30.12.2009
Сообщений: 11,430
|
Цитата:
Malriser, вы чуть более чем полностью недооцениваете антивирусы. Когда-то антивирус был тем самым крикуном по любому поводу, и без повода, и даже на самого пользователя пищал. Сейчас же идет типичная игра в шпиона, пока зловред "выясняет" наличие антивируса, провоцируя его/скрытно от всех рабтая, антивирус никак себя не выдает, продолжая анализировать действие потенциального вируса, исследуя методику распространения файла. Ну скопировал ты вирус в 100500 папок, пусть и на системном диске, и чо? Пользователю тоже может быть скучно, и может делать тоже самое. А попробуй ка размножаться, заменяя другие EXE файлы на свой, под теми же атрибутами файлов. Очень быстро огребешь за какой-нибудь worm.selfcopy |
|
02.09.2014, 19:30 | #7 | |
xor esp, esp
Форумчанин
Регистрация: 11.02.2014
Сообщений: 135
|
Цитата:
Кстати, та моя программка-то, теперь палится во всю. Если она безвредная, скажи, почему антивирусы ее с радостью добавили в базу? Ссылка на старый детект еще осталась, сравни с детектом теперь: https://www.virustotal.com/ru/file/9...is/1409671620/ Контрольная сумма другая из-за того, что ключ для шифрования строк изменил. ( Смотри раздел "Поведение" ) И да, сравни что будет если пошифровать весь код и при запуске его расшифровывать. Тот же файл: https://www.virustotal.com/ru/file/e...is/1409671776/ Смотри раздел поведение. Ну и как, нормально это? Нафига они вообще нужны, если эмуль у них никакой, и надеяться лишь на сигнатуры, которые сбить - как нех делать. Кстати, если шифровать, то зацени, как свалили целых три антивируса, а это уже означает, что пусть там хоть супер-пупер вирус, который они детектируют с помощью эмулятора, их так же можно обойти Не шифрованный: https://www.virustotal.com/ru/file/0...is/1408550365/ Шифрованный: https://www.virustotal.com/ru/file/e...is/1409671776/ P.S. Ты сам напиши программу, которая не имеет видимых окон и копируется в Temp, добавляясь на автозапуск и запускает себя из папки Temp, после чего залей на вирустотал и сравни с моим детектом. Как тебе? А ведь делает одно и тоже, а детект будет разный, совершенно разный. Это опять показывает изъяны... Последний раз редактировалось Malriser; 02.09.2014 в 19:34. |
|
02.09.2014, 21:06 | #8 |
Просветитель
Участник клуба
Регистрация: 26.12.2012
Сообщений: 1,834
|
Аффтар, тебя надо лечить электричеством.
В разработке: воспроизводственный контур ИТ
|
05.09.2014, 00:53 | #9 |
xor esp, esp
Форумчанин
Регистрация: 11.02.2014
Сообщений: 135
|
Конкретнее, пожалуйста.
Я же не сорцы какого-то трояна кидаю, я лишь кидаю доказательства, дабы люди прозрели от иллюзии безопасности. |
05.09.2014, 07:12 | #10 |
Старожил
Регистрация: 04.02.2009
Сообщений: 17,351
|
То что Вы описали не является опасным. Я Вам предложил задачу. Скопируйтесь незаметно в винду и запуститесь оттуда без администратора.
Маньяк-самоучка
Utkin появился в результате деления на нуль. Осторожно! Альтернативная логика |
|
Похожие темы | ||||
Тема | Автор | Раздел | Ответов | Последнее сообщение |
Программа тестирования ПО | Vaik00 | Помощь студентам | 8 | 26.04.2013 09:02 |
программа тестирования | indira2005 | БД в Delphi | 0 | 10.04.2012 20:30 |
Программа тестирования | Rashgild | Помощь студентам | 2 | 14.07.2011 04:10 |
Программа тестирования | dani92 | Общие вопросы Delphi | 5 | 26.01.2010 11:05 |
Программа Тестирования. | Spiker01 | Паскаль, Turbo Pascal, PascalABC.NET | 3 | 06.01.2009 13:14 |