如何故意从病毒扫描中触发误报?
How to intentionally trigger a false positive from a virus scan?
我想测试病毒扫描程序,但我不想让真正的恶意软件存储在我的机器上。过去,我看到一些无害的软件被反恶意软件程序模糊的“启发式”标记为病毒。我想编写一个 不是 无论如何都是恶意软件的程序,但很可能被典型的、合理的防病毒软件视为恶意软件。我将如何开始?任何通用的编程语言都可以。
通常的答案是使用来自 https://www.eicar.org/?page_id=3950
的 Eicar
如果您正在测试 AV 是否正常工作,那么 Eicar 测试文件应该可以完成工作,因为这些文件必须被每个 AV 标记为恶意文件,这适用于静态检测。
但是要检查启发式检测,这在每个 AV 引擎中都很重要,您可以编写一个简单的代码,然后 运行 将其作为可执行文件执行以下任一操作。
- 在“shell:startup”文件夹中粘贴内容。
- 自我复制或将 exe 粘贴到“C:\windows”文件夹。
- 将注册表项添加到“运行”或“运行 一次”。
这些是非常基本的启发式拘留,很多情况下会被阻止或至少向用户显示这些已完成的通知。
你可以像执行 FORK 炸弹一样创造性地思考,将“Autorun.ini”文件写入“pendrive”并将其插入 PC。
我想测试病毒扫描程序,但我不想让真正的恶意软件存储在我的机器上。过去,我看到一些无害的软件被反恶意软件程序模糊的“启发式”标记为病毒。我想编写一个 不是 无论如何都是恶意软件的程序,但很可能被典型的、合理的防病毒软件视为恶意软件。我将如何开始?任何通用的编程语言都可以。
通常的答案是使用来自 https://www.eicar.org/?page_id=3950
的 Eicar如果您正在测试 AV 是否正常工作,那么 Eicar 测试文件应该可以完成工作,因为这些文件必须被每个 AV 标记为恶意文件,这适用于静态检测。
但是要检查启发式检测,这在每个 AV 引擎中都很重要,您可以编写一个简单的代码,然后 运行 将其作为可执行文件执行以下任一操作。
- 在“shell:startup”文件夹中粘贴内容。
- 自我复制或将 exe 粘贴到“C:\windows”文件夹。
- 将注册表项添加到“运行”或“运行 一次”。 这些是非常基本的启发式拘留,很多情况下会被阻止或至少向用户显示这些已完成的通知。
你可以像执行 FORK 炸弹一样创造性地思考,将“Autorun.ini”文件写入“pendrive”并将其插入 PC。