如何将病毒附加到防病毒项目的任何文件中?

如何将病毒附加到防病毒项目的任何文件中?

我正在做一个防病毒项目。它会扫描文件以查找任何附加的感染,但我不知道它是如何工作的。所以我首先想知道,如何将任何恶意可执行文件附加到任何正常文件中以在受害者的 PC 上执行它?

答案1

与其尝试将病毒附加到其他文件,不如下载EICAR 标准防病毒测试文件测试你的防病毒软件:

EICAR 标准防病毒测试文件或 EICAR 测试文件是由欧洲计算机防病毒研究所 (EICAR) 和计算机防病毒研究组织 (CARO) 开发的计算机文件,用于测试计算机防病毒 (AV) 程序的响应。此测试文件允许人们测试防病毒软件,而无需使用可能造成实际损害的真实恶意软件,而无需使用真正的计算机病毒。

有可能的使用了解更多信息:

反恶意软件测试文件

此测试文件已作为“EICAR 标准防病毒测试文件”提供给 EICAR 进行分发,并且满足上述所有标准。它可以安全地传播,因为它不是病毒,也不包含任何病毒代码片段。大多数产品都会将其视为病毒(尽管它们通常会使用明显的名称进行报告,例如“EICAR-AV-Test”)。

该文件是一个合法的 DOS 程序,运行时会产生合理的结果(它会打印消息“EICAR-STANDARD-ANTIVIRUS-TEST-FILE!”)。

它也简短而简单 - 事实上,它完全由可打印的 ASCII 字符组成,因此可以使用常规文本编辑器轻松创建。任何支持 EICAR 测试文件的防病毒产品都应该可以在任何文件中检测到它,前提是该文件以以下 68 个字符开头,并且长度恰好为 68 个字节:

X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*

前 68 个字符是已知字符串。它可由任意组合的空格字符附加,总文件长度不超过 128 个字符。允许的空格字符只有空格字符、制表符、LF、CR、CTRL-Z。为简单起见,该文件仅使用大写字母、数字和标点符号,不包括空格。在测试文件中输入时唯一要注意的是,第三个字符是大写字母“O”,而不是数字零。

我们鼓励您使用 EICAR 测试文件。如果您知道有人正在“出于测试目的”寻找真正的病毒,请将测试文件提供给他们。如果您知道有人正在讨论行业标准测试文件的可能性,请告诉他们有关 www.eicar.org 的信息,并让他们参考这篇文章。

测试文件可以从以下位置下载(http://www.eicar.org/85-0-Download.html) 有多种不同的格式:

为了方便各种情况,我们提供了 4 个文件供下载。第一个文件 eicar.com 包含如上所述的 ASCII 字符串。第二个文件 eicar.com.txt 是此文件的副本,但文件名不同。一些读者报告下载第一个文件时出现问题,使用第二个版本可以避免这些问题。只需下载并将文件重命名为“eicar.com”。这样就可以了。第三个版本包含 zip ARCHIVEe 内的测试文件。好的防病毒扫描程序会发现 ARCHIVEe 内的“病毒”。最后一个版本是包含第三个文件的 zip ARCHIVEes。此文件可用于查看病毒扫描程序是否仅检查一层以上的 ARCHIVEes。

答案2

以下字符串是 EICAR 测试病毒。它是非恶意代码,任何 AV 扫描软件都可以检测到它以进行测试。

如果您的 AV 配置正确,将以下字符串放入电子邮件正文中应该会触发 A/V 警报。

X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*

或者,您可以使用任何您喜欢的扩展名将其保存到文件中,并且它也应该产生相同的效果。

此外,将其附加到现有文件的末尾也应该触发 AV 警报。

您可以找到有关它的更多信息这里

相关内容