ウイルス対策プロジェクトのファイルにウイルスを添付するにはどうすればよいですか?

-3

ウイルス対策プロジェクトを作成しています。添付されている感染がないかファイルをスキャンしますが、これがどのように機能するのかわかりません。だから私は最初に知りたいのですが、どのように悪意のある実行可能ファイルを通常のファイルに添付して被害者のPCで実行するのですか?

virus  anti-virus 
テクノラスト
ソース
実行可能ファイルの形式を知っていれば、それを変更できると期待しています。実行可能ファイルに保存されているマシンコード命令がどのように機能するかを知ることも役立ちます。ファイルを開き、ファイルを有効な実行可能ファイルのままにするバイトをいくつか追加して(または変更したコード)、ファイルを保存してください。
スティーブ

回答:

3

ウイルスを他のファイルに添付しようとする代わりに、EICAR標準アンチウイルステストファイルをダウンロードして、ウイルス対策ソフトウェアをテストできます。

EICAR標準ウイルス対策テストファイルまたはEICARテストファイルは、コンピューターウイルス対策(AV)プログラムの応答をテストするために、欧州コンピューターウイルス対策研究所(EICAR)およびコンピューターウイルス対策研究機関(CARO)によって開発されたコンピューターファイルです。 。このテストファイルを使用すると、実際の損傷を引き起こす可能性のある実際のマルウェアを使用する代わりに、実際のコンピューターウイルスを使用せずに、ウイルス対策ソフトウェアをテストできます。

詳細について使用目的を参照してください。

マルウェア対策テストファイル

このテストファイルは、「EICAR標準アンチウィルステストファイル」として配布するためにEICARに提供されており、上記のすべての基準を満たしています。ウイルスではなく、ウイルスコードのフラグメントが含まれていないため、安全に受け渡すことができます。ほとんどの製品は、ウイルスであるかのように反応します(ただし、通常は「EICAR-AV-Test」などのわかりやすい名前で報告します)。

このファイルは正当なDOSプログラムであり、実行時に適切な結果を生成します(メッセージ「EICAR-STANDARD-ANTIVIRUS-TEST-FILE!」を出力します)。

また、短くてシンプルです。実際、印刷可能なASCII文字のみで構成されているため、通常のテキストエディターで簡単に作成できます。EICARテストファイルをサポートするウイルス対策製品は、ファイルが次の68文字で始まり、正確に68バイトの長さであれば、ファイルで検出する必要があります。

X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*

最初の68文字は既知の文字列です。オプションで、128文字を超えない合計ファイル長を持つ空白文字の任意の組み合わせを追加できます。許可される空白文字は、スペース文字、タブ、LF、CR、CTRL-Zのみです。物事を単純にするために、ファイルは大文字、数字、句読点のみを使用し、スペースは含みません。テストファイルに入力するときに注意する唯一のことは、3番目の文字が数字のゼロではなく大文字の「O」であることです。

EICARテストファイルを使用することをお勧めします。「テスト目的で」本物のウイルスを探している人を知っている場合は、テストファイルを注意してください。業界標準のテストファイルの可能性について議論している人々を知っている場合は、www.eicar.orgについて説明し、この記事を紹介してください。

テストファイルは、さまざまな形式で(http://www.eicar.org/85-0-Download.html)からダウンロードできます。

さまざまなシナリオを容易にするために、ダウンロード用に4つのファイルを提供しています。最初のeicar.comには、上記のASCII文字列が含まれています。2番目のファイルeicar.com.txtは、異なるファイル名のこのファイルのコピーです。一部の読者は、最初のファイルをダウンロードするときに問題を報告しました。これは、2番目のバージョンを使用するときに回避できます。ファイルをダウンロードして、名前を「eicar.com」に変更するだけです。それはトリックを行います。3番目のバージョンには、zip ARCHIVEe内にテストファイルが含まれています。優れたウイルス対策スキャナーは、ARCHIVEe内の「ウイルス」を発見します。最後のバージョンは、3番目のファイルを含むzip ARCHIVEesです。このファイルを使用して、ウィルススキャナがARCHIVEesを1レベル以上しかチェックしていないかどうかを確認できます。

デイビッドポスティル
ソース
スタンドアロンウイルスファイルは、そのシグネチャを持つことで簡単に検出できます。問題は、これらの悪意のあるコードが何らかのホストファイルにバインド/アタッチされている場合に発生します。したがって、これらのファイルを.exeファイルにバインドする方法を知りたいです。
Technolust 14
3
パブリックフォーラムで、マルウェアの拡散方法に関するアドバイスを求めています。あなたが善意を持っていると仮定すると、あなたは答えを読むかもしれない縮退者を心配していませんか?
fixer1234 14
セキュリティコンサルタントは、ソースコードが侵害されたときに抜け穴について知るようになります。同様に、このような悪意のあるファイルを阻止するアイデアを得ることができる実際のバインディングプロセスを知りたいと思います。常に良いが先行し、悪い
Technolust
2

次の文字列はEICARテストウイルスです。これは、テスト目的でそこにあるAVスキャンソフトウェアによって検出される悪意のないコードです。

AVが正しく構成されている場合、次の文字列を電子メールの本文に挿入すると、音声ビデオアラートがトリガーされます。

X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*

または、好きな拡張子を使用してファイルに保存することもでき、同じ効果が得られます。

また、既存のファイルの最後に追加すると、AVアラートがトリガーされます。

詳細については、こちらをご覧ください

ウェズ・サイード
ソース
EICARはすべてのAVプログラムで検出されるわけではありません。主要なもののほとんどはそれを行いますが、時にはそれを検出しないものを見つけるでしょう。
ケルタリ14
2
そのテストウイルスの要点は、お使いのAVソフトウェアが適切に動作しているかどうかを判断することであるため、どれがそうでないかを知りたいと思います。私はそれが実際に機能するかどうかを知る方法がない製品の購入を避ける傾向があります。
ウェズサイード14
はい、EICARテストは、AVが動作状態にあるかどうかを確認するためのものです。
Technolust 14
1
@WesSayeed言うのは難しい。しばらく前に、それをサポートしていないAVプログラムに出会いました。ほとんどの「主要な」AVプログラムで認識される以外に、決定的なリストはありません。
ケルタリ14
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.