#1 楼
那是没有意义的练习。大多数恶意软件扫描程序都会在二进制代码片段(也称为病毒签名)上进行匹配,并根据黑名单检查已知感染代码的MD5哈希。除非您编写的病毒已经被广泛使用并且已经列入黑名单,否则他们将不可能在文件中记录您代码的确切签名。
确实触发匹配的扫描程序最有可能使用启发式技术扫描“可疑”行为。例如,很少有程序合法地需要请求OS授予它们“充当调试器”的权限,但这在恶意软件中是相当普遍的行为,因此,如果找到它们,便会对其进行标记。 >向McAfee报告您的自定义病毒不会帮助任何人-不是McAfee,不是公众。如果他们没有将您的代码识别为病毒,那是因为他们的扫描程序没有非常有效的启发式方法(他们已经知道,并且每天在分析的数百种病毒中也不会从您的代码中学习。)一场比赛耗费研究人员的时间和精力,这会花费McAfee的钱。迈克菲浪费金钱去研究没人能得到的病毒并将其添加到他们的黑名单中是没有任何价值的,因为作为白帽子,您不允许其被释放。
评论
@JohnDoe我认为John可能已经指出,您必须谨慎对待白帽状态。只是说你是白帽子并不能使你成为白帽子。相反,确保您编写的任何代码都不会用于恶意目的是至关重要的措施。也许他夸大了并暗示您对您的代码不谨慎,而当他可能想说的是:“以防万一,请帮我们一个忙,并对您的代码非常小心”。
– Todd Wilcox
16-3-13在16:22
答案的重要部分可以更清楚地说明,“病毒扫描程序”不过是已知的,发现的野生病毒代码和代码片段的黑名单。某些反病毒工具还可以检测可疑/类似病毒的行为,但它们可能会产生很多误报并破坏用户可能想要工作的东西。
–R .. GitHub停止帮助ICE
16年3月13日在16:49
我对以上情况的唯一例外是,如果您想共享利用未发现漏洞利用的病毒概念证明。然后,我将与适当的安全研究人员和/或受影响的软件供应商一起提交示例和代码,以帮助保护公众。
–培根·布拉德
16-3-14在23:57
#2 楼
实际上,您不应该这样做-没有义务强迫您这样做。您说自己是白帽子,所以您不打算使用您的代码抢劫银行,并且您的个人研究结果是您自己的和私人的,除非您希望将它们发布到某个地方。评论
如果OP希望帮助AV发行商增强启发式功能,以便他自己使用产品会感到更安全,该怎么办?即使OP只关心自己,他也可能想报告他的发现。也许他甚至会得到一两美元,甚至一份工作机会。
–凯
16-3-14在17:25
@Kay听起来很合理,我建议OP将其发布在他的博客或与安全相关的期刊中。他将至少拥有+1种科学出版物,其影响范围将不仅是视音频制造商,而且还将是一个更广泛的安全研究人员社区。
–阿列克谢·韦斯宁(Alexey Vesnin)
16-3-14在17:57
@Kay共享始终是一个好主意,对社区有益。我仍然发现,从理论上讲,任何形式的出版都可能是一种自私的行为,即使通常认为它是无私的。
– Mikuz
16 Mar 16 '16 at 9:51
@Mikuz照顾自己是件好事,在成就旁边写上你的名字也不会丢脸
–阿列克谢·韦斯宁(Alexey Vesnin)
16 Mar 16 '16 at 11:51
@Alexey Vesnin是的,我完全支持所有这种行为。另外,我发现对人们来说,照顾自己和自私是件好事。不过,这已经超出了主题范围。
– Mikuz
16 Mar 16 '16 at 11:56
评论
关于“如何”,我建议您研究此类内容以及文档末尾的链接:icann.org/en/system/files/files / ...这也应该有助于您调查它是否是也是。顺便说一句:哪些扫描程序可以检测到您的病毒?
当您上传到Virustotal时,它将被发送到AV公司。抱歉,没有资料来源,只是我的回忆。
制作避免AV检测的病毒实际上非常简单。真正的办法是利用应用程序/操作系统中的错误来允许执行您不应该做的事情,例如,非管理员运行“病毒”升级程序。在将所有RnD引入启发式方法后,大多数AV检测仍然基于将文件与已知病毒列表匹配-这就是保持AV检测文件最新非常重要的原因。如果首先使用AV,那么当然:)
是仅运行rm -rf /病毒的bash脚本吗?