百款杀毒软件测试:病毒样本的处理过程(转)

最新推荐文章于 2020-09-30 11:24:45 发布
最新推荐文章于 2020-09-30 11:24:45 发布
阅读量389 收藏
点赞数
百款杀毒软件测试:病毒样本的处理过程(转)[@more@]  一、预处理

  所有样本作了一系列预处理,去除了重复文件、多数杀毒软件不能识别的文件、同一种病毒感染出的多个文件、和被误报的文件,详细步骤如下。

  1、经过专用程序生成CRC32、MD5签名数据库,剔除重复文件;

  2、经过测试前病毒扫描,不能够同时被三种及以上不同查毒软件报告出病毒的文件剔除;

  3、通过全球最大专业的误报和Joke程序数据库,尽可能剔除样本中可能被误报的非病毒文件;

  4、通过病毒命名交叉索引数据库,尽可能保证样本中每一种病毒在被多种杀毒软件报作相同病毒时只保留一个样本文件。

  二、分类

  样本文件分为基本样本、打包样本和加壳样本,分类情况如下

  1、全部文件经手工检查分类,详细记录文件日期、长度;

  2、经多数杀毒软件监测后,按照前缀分类法放入不同的目录;

  3、有较多争议和没有前缀的归入子类别的其他。

  最后基本样本分为37大类共246子类。

  三、加壳与打包

  1、基本样本尽可能没有被打包或加壳

  2、打包的样本在打包前能够被多数杀毒软件识别

  3、加壳的样本在加壳前能够被多数杀毒软件识别

  4、打包和加壳的层数只有一层

  5、打包和加壳的时候使用所有历史版本(如upx 1.0-2.9共359个版本)处理后,然后剔除结果重复文件

  6、加壳的时候每种版本使用所有的格式(如upx 2.9共支持10种格式)处理后,然后剔除结果重复文件

  Upx 2.x 支持的格式atari/tos、djgpp2/coff、dos/com、dos/exe、dos/sys、linux/386、rtm32/pe、tmt/adam、watcom/le、win32/pe

  7、打包的时候每种版本使用所有的压缩方法(如rar 3.61共支持6种方法)、所有的自解压格式处理后,然后剔除结果重复文件

  Winrar 3.x 支持的压缩方法:存储、最快、较快、标准、较好、最好;自解压格式包括:win界面、控制台、DOS、Linux自解压

  8、由于多数杀毒软件出现将加壳后的文件直接报作病毒,而且报告中不明确是否脱壳,在统计时将这种“支持查出这种病毒”情况视为“支持此种加壳格式”。

  四、样本汇总

  1、最后样本文件1,126,464个,其中打包格式文件27296个,加壳格式文件287138个,基本样本812030个。

  2、分布在E、F盘2145个子目录中,占据硬盘空间760G

  3、每个文件平均大小约600K,NTFS分区的单元大小为4K

来自 “ ITPUB博客 ” ,链接:http://blog.itpub.net/10617731/viewspace-963606/,如需转载,请注明出处,否则将追究法律责任。

转载于:http://blog.itpub.net/10617731/viewspace-963606/

cuijiao1893
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
测试你杀毒软件的病毒
12-16
3. **杀毒软件测试**: - 沙箱测试:在隔离环境中运行可疑文件,避免实际损害。 - 实时保护测试:检验软件能否即时阻止恶意行为。 - 检测率测试:评估软件找出病毒样本的能力。 - 清除能力测试:测试软件清除或...
杀毒软件专用病毒测试
11-18
此外,仅依赖于测试的结果并不足以全面评价一款杀毒软件,还需要考虑其资源占用、用户界面友好度以及技术支持等因素。 总的来说,“杀毒软件专用病毒测试”是评估杀毒软件性能的有效工具,它可以帮助我们了解...
介绍一个可以轻松下载病毒样本的数据库
ybdesire的专栏
09-30 2万+
引入 病毒样本有一些知名的数据集,但一般这些数据集中的样本都比较老,并且申请这些数据集的流程复杂,耗时长。有的数据集只有meta信息,没有完整的样本。 而病毒样本又是各大安全公司的资产,研究者也不会轻易拿到新样本。 所以病毒样本的收集是比较麻烦的。 MalwareBazaar Database 从如下介绍,可以看出,MalwareBazaar数据库是与安全产商合作后,构建的一个公开的病毒样本数据库。 MalwareBazaar is a project operated by abuse.ch. The p
杀毒软件能力测试
vv_8ing的博客
03-26 2184
杀毒软件能力测试 本测试无任何危险 测试方法 鼠标右键点击桌面空白处,创建一个 文本文档。 将这段测试代码复制到 文本 里,保存。 X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H* 如果会自动报毒并将该文本删除,说明杀毒软件比较安全。 如果没有反应,可以右键点击这个 文本,用杀毒软件扫描。 测试原理 该段代...
测试杀毒软件代码
大印的专栏
06-01 4152
测试一下你的杀毒软件
weixin_34197488的博客
11-15 1496
测试一下代的杀毒软件,本人亲自试过,不是病毒,请大家测试! 这段由欧洲防病毒协会提供的代码绝对值得大家一试:看看你杀毒软件的能力吧! 测试方法: 1.鼠标右键点击桌面空白处,创建一个“文本文档”。 2.将下面这段测试代码复制到“文本”里,保存,然后可以直接右键点击这个文本,用杀毒软件扫描,也可以等一会,如果你的杀毒软件还行,会自动报毒并将该文本删除,...
杀毒软件性能测试
weixin_34205076的博客
11-21 450
CSDN上有一篇关于杀毒软件性能测试的帖子。很有意思,贴过来大家试试。 这段由欧洲防病毒协会提供的代码绝对值得大家一试:看看你杀毒软件的能力吧! 测试方法: 1.鼠标右键点击桌面空白处,创建一个“文本文档”。(什么,还不会建?我倒) 2.将下面这段测试代码复制到“文本”里,保存,然后可以直接右键点击这个文本,用杀毒软件扫描,也可以等一会,如果你的杀毒软...
avc杀毒软件测试报告2~5月中文版.pdf
10-02
总结,这个"avc杀毒软件测试报告"详细分析了2010年2月至5月期间20款主流杀毒软件的主动检测和回溯性能,测试结果对于了解当时各产品在应对新威胁方面的表现及其对用户的安全保障具有重要意义。同时,报告也提醒了...
测试你的杀毒软件到底多能干
01-15
ECVA是一个专门从事病毒研究和反病毒技术开发的组织,它会开发并提供病毒样本,以便测试和验证杀毒软件的性能。 描述中的“病毒代码”是特定的恶意软件程序或片段,它们被设计用来模拟真实世界中的病毒行为。这些...
测试你的杀毒软件实时监控能力.rar
03-13
1. **模拟攻击**:使用安全的测试样本(如EICAR测试文件)来模拟病毒或恶意软件的攻击,观察杀毒软件的反应。 2. **关闭实时保护**:临时关闭实时保护,然后尝试运行已知的恶意软件,重新开启后再看是否能被及时...
测试杀毒软件是否有效的最简单和安全的方法
凌云霄天翔
02-07 1401
测试杀毒软件是否有效的最简单和安全的方法欧洲反病毒发展研究所(EICAR)提供了一个文件:EICAR标准反病毒测试文件,它是反病毒软件厂商在全世界范围内提供的用来检查反病毒软件安装的一个测试标准。你可以轻易地建立这个文件: 请打开“记事本”,将下面一行文本拷贝进去,保存文件文件类型选择“所有文件”,文件名为“ABC.COM”。 X5O!P%@AP[4/PZX54(P^)7CC)7}$EICAR-
安全测试流程
热门推荐
weixin_30776863的博客
06-29 2万+
1.安全测试在做什么?扫描?在很多人的眼中,做安全的就是整天拿个工具在哪里做扫描操作,使用各种不同的工具做扫描。是的,扫描是安全测试的很重要的一部分,扫描可以快速有效的发现问题。扫描工具的易用性、方便性决定了重要地位。但是扫描工具的局限性、程序的不够灵活等缺点也是显而易见的。不管是扫描报告的分析、漏洞的深度挖掘、测试的组织等等的工作都离不开安全测试人员,所以只能说扫描工具减轻了测试人员的工作量,是...
通用病毒测试样本
weixin_34343000的博客
06-29 1700
X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H* 载于:https://www.cnblogs.com/fanzi2009/archive/2009/12/16/1625612.html
***技术补充:***加壳
weixin_34303897的博客
01-16 185
说了好几次,要发个加壳的教程,一直都太懒,只好把别人写的简单整理一下,大家莫怪哦。 ===================================== 其实在我们从网站上下载的许多***,都是被开发者处理过并加过壳的。 加壳的全称应该是“可执行程序资源压缩”,是保护可执行程序最有效的手段之一。 所谓加壳,其实是指利用特殊的算法,对EXE、DLL文件中...
mirai病毒样本分析
PwnGuo的博客
07-22 2216
发这篇的时候已经是在此岗位工作接近尾声等待交接离职,交接过程中发现自己刚开始做支撑时候遇到驻场人员发现态势感知检a测到有mirai样本样本跑不起来,驻场人员对网络需要排查确定甲方设备安全。通过发回的样本进行分析,提供驻场人员相关建议,简单的做了一点分析记录,直接分享出来。具体的事件已经记不大清楚。 样本信息: PEID查看样本为UPX加壳程序。 ...
病毒基础知识:杀毒软件的杀毒原理
weixin_34343308的博客
09-13 1145
杀毒软件是根据什么来进行病毒判断并查杀得呢?病毒检测的方法 在与病毒的对抗中,及早发现病毒很重要。早发现,早处置,可以减少损失。检测病毒方法有:特征代码法、校验和法、行为监测法、软件模拟法 这些方法依据的原理不同,实现时所需开销不同,检测范围不同,各有所长。 特征代码法 特征代码法被早期应用于SCAN、CPAV等著名病毒检测工...
病毒实时监控测试样本
Aceryt
09-02 2500
将以下字符串粘贴到记事本中,然后保存成一个文本文件,如果Norton实时监控是正常的,则会立即被检测出来并隔离,此段代码可以检测实时监控是否正常。X5O!P%@AP[4/PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*此代码段并非病毒,这段代码是EICAR(欧洲计算机防病毒协会)和反病毒软件厂家一同开发的一种测试文件,其中的特征码已经
获取病毒样本的途径
把梦想放飞在蓝色的天空里...
11-21 4074
相信很多朋友对于病毒逆向分析感兴趣,除了可以提高逆向能力之外,还提高与病毒的抗战能力,提高个人战斗力,但有些朋友可能不知道如何获取病毒样本,毕竟是业余玩家,不像杀软公司有很大的病毒监测能力和设备,监测捕获平台,还有那个传说中的云安全!因此这里分享一点个人获取病毒样本的途径,其实主要也就是几个网站而已。 1.论坛收集 在一些安全站点,比如卡饭病毒样本版块: http://bbs.kafan.c
软件测试方法技术的研究静态测试样本.doc
最新发布
12-06
本文介绍了软件测试方法技术的研究静态测试样本,并以常州信息职业技术学院软件学院学生居富山的毕业设计(论文)报告为样本。 在这个报告中,居富山以软件测试办法技术研究为题目,深入探讨了静态测试方法。静态...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值