Perché il mio debugger viene rilevato come Trojan dal software antivirus?

7

Sto cercando di utilizzare un deugger (ovvero OllyDbg) per analizzare alcuni file exe .

Tuttavia, tutte le versioni che ho scaricato da Internet sono considerate come trojan da alcuni software anti-virus. (Uso www.virustotal.com per scansionare il file binario scaricato)

I comportamenti principali di OllyDbg appartengono a un tipo di Trojan?

Al momento, voglio scaricare OllyDbg v1.10 defixed (versione da [potentialy dannoso link] http://4server.info/download/4shared.com/rar/RFNpFbiP/ollydbg_v110_defixed.html )

Ecco il risultato della scansione di "ollydbg v1.10 defixed.rar" di virustotal:

"ollydbg v1.10 defixed.rar" contiene veramente trojan?

    
posta lyenliang 03.03.2015 - 15:50
fonte

1 risposta

19

Il link fornito nella domanda sembra molto interessante. Se si tratta di una versione "patchata" che dovrebbe eliminare la limitazione, è più che probabile che il fissatore abbia aggiunto qualche tipo di sorpresa aggiuntiva (come un virus). Il sito ufficiale propone già una versione gratuita del software, quindi inizierei qui per evitare di ricevere un virus da uno sconosciuto casuale.

Detto questo, non è impossibile che gli anti-virus rileggano programmi innocui come malware. Ciò accade perché i controlli AV per alcune note firme di exploit e / o rilevano comportamenti insoliti, come ad esempio l'accesso ad alcuni intervalli di memoria.

I debugger hanno questo tipo di comportamenti dispari, come la necessità di legarsi a processi esistenti, de-instradare chiamate di funzioni, controllare e modificare la memoria, ecc.

    
risposta data 03.03.2015 - 16:02
fonte

Leggi altre domande sui tag