我想测试病毒扫描程序,但我不想在我的机器上存储实际的恶意软件。过去,我见过无害的软件被反恶意软件程序中模糊的"启发式"标记为病毒。我想编写一个程序,它绝不是恶意软件,但很可能被典型的、合理的防病毒软件视为恶意软件。我将如何开始?任何常见的编程语言都可以。
通常的答案是使用 Eicar 从 https://www.eicar.org/?page_id=3950
如果您正在测试 AV 是否正常工作,那么 Eicar 测试文件应该可以完成这项工作,因为这些是每个 AV 必须标记为恶意的文件,这适用于静态检测。
但是要检查启发式检测(这在每个 AV 引擎中都很重要(,您可以编写一个简单的代码并将其作为可执行文件运行,以执行以下任何给定的操作。
- 将内容粘贴到"shell:startup"文件夹中。
- 复制自身或将 exe 粘贴到"C:\windows"文件夹。
- 将注册表项添加到"运行"或"运行一次"。 这些是非常基本的启发式拘留,它们被阻止或至少向用户显示这些操作已完成的通知。
您可以像执行FORK炸弹一样创造性地思考,将"自动运行.ini"文件写入"笔式驱动器"并将其插入PC。