Come potrei dimostrare che un eseguibile di Windows non è un falso positivo? [chiuso]

Naviga le tue risposte
0

Potrei guardare al metodo che implica la decompilazione o l'editing esadecimale, ma spero che sia disponibile qualcosa di più semplice, sebbene sia completamente disposto a seguire questa strada. Lo scenario che sto cercando di risolvere è che ho un file eseguibile che viene contrassegnato come un virus. Sto esplorando tutte le possibilità e includendo la possibilità che il mio compilatore stia iniettando un virus nel codice. Ho il nome del virus che viene segnalato. Non mi interessa se lo scanner anti-virus lo segnala di nuovo, ma voglio dimostrare che questo file è davvero sicuro. Supponendo che i miei documenti siano affidabili come farei in questo modo? Inoltre, si supponga che questo eseguibile non possa essere inviato alla società antivirus per la whitelist euristica.

Mentre questa situazione è forzata, chiedo in breve, se ho un file eseguibile e un nome di virus che viene trovato da un motore antivirus come posso confermare che l'eseguibile non contiene quel virus.

    
posta DarkSheep 29.01.2016 - 14:56
fonte

1 risposta

1

Credo che questa domanda sia correlata al link piuttosto che al forum di sicurezza.

Questa è una sorta di domanda estremamente approfondita a cui rispondere. Ad esempio, qual è questa applicazione? Linguaggio nativo o di codice byte, ad es. Java, .NET ecc.

Quindi, proverò a supporre che si tratti di un eseguibile x86.

Dovrai scaricare:

Process Monitor - Uno strumento davvero utile per vedere quale processo è per file, registro, rete e discussioni / processi.

IDA PRO - Un debugger / disassemblatore / decompilatore estremamente potente in modo che tu possa effettivamente interrompere l'API conosciuta da cosa il falso positivo sta facendo. Avrai bisogno di una comprensione di interni di Windows. Se mi fornisci ciò che il virus crede di fare, posso darti un elenco di API da investigare sotto il debugger.

Monitor API - Uno strumento utile per verificare semplicemente che cosa sta eseguendo nel tempo per vedere se qualcosa si distingue. Ad esempio, OpenProcess, WriteProcessMemory, ReadProcessMemory viene in genere utilizzato nel codice di iniezione in altri processi e un'applicazione generale non richiederebbe queste API.

Idealmente, ti consigliamo di imparare a decodificare il codice per rivedere il codice poiché bypassare gli AV e i falsi positivi sono estremamente comuni.

    
risposta data 29.01.2016 - 15:49
fonte

Leggi altre domande sui tag

Qual è lo stato dell'arte nella lettura dei tasti in base alla visione? Come ottenere un intervallo di indirizzi di rete interno durante una fase di footprinting?