Я делаю антивирусный проект. Он будет проверять файлы на наличие любых заражений, но я не знаю, как это работает. Поэтому я сначала хотел узнать, как прикрепить вредоносный исполняемый файл к любому обычному файлу, чтобы запустить его на компьютере жертвы?
2 ответа
Вместо того, чтобы пытаться прикрепить вирус к какому-либо другому файлу, вы можете загрузить стандартный тестовый файл EICAR для проверки антивирусного программного обеспечения:
Стандартный тестовый файл антивируса EICAR или тестовый файл EICAR - это компьютерный файл, разработанный Европейским институтом исследований компьютерных антивирусов (EICAR) и Исследовательской организацией компьютерных антивирусов (CARO), для тестирования реакции компьютерных антивирусных (AV) программ. , Вместо того, чтобы использовать реальное вредоносное ПО, которое может нанести реальный ущерб, этот тестовый файл позволяет людям тестировать антивирусное программное обеспечение без необходимости использовать настоящий компьютерный вирус.
См. Использование по назначению для получения дополнительной информации:
Anti-Malware Testfile
Этот тестовый файл был передан в EICAR для распространения в виде «Стандартного антивирусного тестового файла EICAR», и он удовлетворяет всем критериям, перечисленным выше. Это безопасно обойти, потому что это не вирус, и не содержит фрагментов вирусного кода. Большинство продуктов реагируют на него, как на вирус (хотя обычно сообщают об этом с очевидным названием, например, «EICAR-AV-Test»).
Этот файл является допустимой программой для DOS и при запуске выдает ощутимые результаты (он печатает сообщение «EICAR-STANDARD-ANTIVIRUS-TEST-FILE!»).«).
Он также короткий и простой - на самом деле он полностью состоит из печатных символов ASCII, поэтому его можно легко создать с помощью обычного текстового редактора. Любой антивирусный продукт, который поддерживает тестовый файл EICAR, должен обнаруживать его в любом файле, при условии, что файл начинается со следующих 68 символов и имеет длину ровно 68 байтов:
X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*
Первые 68 символов - это известная строка. К нему можно добавить любую комбинацию пробельных символов с общей длиной файла, не превышающей 128 символов. Допускаются только пробельные символы: пробел, табуляция, LF, CR, CTRL-Z. Для простоты файл использует только заглавные буквы, цифры и знаки пунктуации и не содержит пробелов. Единственное, на что следует обратить внимание при наборе в тестовом файле, это то, что третьим символом является заглавная буква "О", а не цифра ноль.
Вам предлагается использовать тестовый файл EICAR. Если вам известны люди, которые ищут настоящие вирусы "для тестовых целей", представьте им тестовый файл. Если вам известны люди, которые обсуждают возможность стандартного тестового файла, расскажите им о www.eicar.org и укажите на эту статью.
Тестовый файл можно скачать с (http://www.eicar.org/85-0-Download.html) в различных форматах:
Для облегчения различных сценариев мы предоставляем 4 файла для скачивания. Первый, eicar.com, содержит строку ASCII, как описано выше. Второй файл, eicar.com.txt, является копией этого файла с другим именем файла. Некоторые читатели сообщали о проблемах при загрузке первого файла, которые можно обойти при использовании второй версии. Просто скачайте и переименуйте файл в «eicar.com». Это сделает свое дело. Третья версия содержит тестовый файл внутри zip-архива. Хороший антивирусный сканер обнаружит «вирус» внутри ARCHIVEe. Последняя версия представляет собой zip-архив, содержащий третий файл. Этот файл можно использовать для проверки того, проверяет ли антивирусный сканер архивы более чем на один уровень.
Следующая строка является тестовым вирусом EICAR. Это не злонамеренный код, который будет обнаружен любым программным обеспечением для сканирования AV в целях тестирования.
Если ваш AV настроен правильно, размещение следующей строки в теле письма должно вызвать оповещение A/V.
X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*
В качестве альтернативы, вы можете сохранить его в файл, используя любое расширение, которое вам нравится, и это также должно дать тот же эффект.
Кроме того, добавление его в конец существующего файла также должно вызывать оповещение AV.
Вы можете найти больше информации об этом здесь.