Rilevazione antivirus di dove viene compilato exe

Naviga le tue risposte
2

Ho sperimentato il modo in cui l'antivirus rileva le firme trojan per capire un paio di cose per la certificazione CEH. Questo ha principalmente coinvolto la riproduzione di variazioni di EXE di Windows.

Sto compilando una macchina virtuale Kali usando 'i686-w64-minw32-gcc' e inviando i risultati a Total virus. Alcuni dei servizi antivirus rileveranno il mio EXE come malevolo indipendentemente dal contenuto. Anche un main(){ return 0} .

Sto pensando che c'è qualcosa che rileva il semplice fatto che sto compilando su Kali. Ho provato un paio di cose basilari - in particolare attraverso strings my.exe - e nulla è emerso.

Come posso approfondire questo aspetto?

    
posta Tim Brigham 03.11.2016 - 19:55
fonte

2 risposte

2

Prova PEStudio. Taglia e svuota il tuo singolo EXE e classifica le singole parti su VirusTotal. Molto interessante.

Avremmo bisogno di un EXE di esempio per dirti di più.

link

    
risposta data 02.07.2017 - 14:28
fonte
0

Poiché la tecnologia AV è per lo più proprietaria, non potrò esservi d'aiuto.

Se vuoi approfondire il contenuto del file, IDA Pro free 5.0 di solito può dare un senso ai file, ma ci sono altri strumenti. Probabilmente la parola chiave che stai cercando su: debugger, disassembler.

Se vuoi saperne di più sullo standard PE / EXE, ed è la realtà che consiglierei corkami , che tratta della realtà del formato, piuttosto che degli standard consigliati da Microsoft.

Per quanto riguarda il modo in cui viene rilevato il compilatore: molto probabilmente si tratta di una stringa in un file, se non è così può essere rilevata da innumerevoli riferimenti alla sua libreria ecc. - è molto probabile che sconvolga gli antivirus, perché gran parte delle corrispondenze di file un virus noto ...

    
risposta data 03.11.2016 - 20:26
fonte

Leggi altre domande sui tag

Che cos'è "Client Isolation" chiamato su reti cablate? I rischi coinvolti nella distribuzione dell'ambiente di gestione temporanea esternamente