1. дома
  2. Вопрос и ответ
  3. Trojan (простой клиент-сервер в C)

Trojan (простой клиент-сервер в C)

2015-06-05 6 views
1

Итак, я начал сетевое программирование несколько дней назад, и я создал очень простой троянец (жертвы выполняют клиент, который создает соединение с хакерскими ПК, а затем хакеры могут выполнять функцию CMD с помощью простой команды system()).Trojan (простой клиент-сервер в C)

В основном мой троянец работает, но я не понимаю, почему мой Антивирус не обнаруживает его. Я имею в виду, что единственное, что, возможно, остановило мой троянец, - это мой брандмауэр, который обнаружил исходящее соединение. Поэтому я не понимаю, почему другие трояны обнаружены, но не новые.

Я могу предоставить исходный код, если необходимо, и хотел бы подчеркнуть, что я делаю это только в образовательных целях. Я никогда не буду использовать какие-либо из этих знаний, чтобы напасть на кого-либо (во всяком случае, у меня недостаточно навыков), я просто хочу узнать и понять :).

источник

2015-06-05 Lapinou Sexy

+0

добавить определение, специфичные для вашего трояна к AV и повторите попытку. :-) –

+0

Полицейские не соответствуют вашим отпечаткам пальцев, если вы никогда не были отпечатаны пальцами ... –

+0

@AlexK. У меня есть «О, подождите!» момент здесь .. Soo отпечатки пальцев сопоставимы с «Базой вирусов», которую используют антивирусные программы? В принципе, то, что не было найдено, еще не обнаружено? –

ответ

1

Avira:

AMES использует движок Avira для обнаружения вирусов. Если двигатель Avira не может обнаружить вирус, то наиболее вероятной причиной может быть , чтобы этот вирус был совершенно новым и еще не может быть обнаружен. Мы бы очень ценим, если вы отправите нам подозрительный файл, чтобы мы могли проанализировать его немедленно. Впоследствии наша лаборатория вирусов отправит вам обратную связь . Если мы не сможем обнаружить подозрительный файл в качестве вируса, мы будем работать над созданием обновления, чтобы убедиться, что мы обнаруживаем файл в будущем .

AVG:

Иногда новый вирус не обнаружен, даже если ваш AVG полностью до даты. Это происходит, когда угроза только что была написана или выпущена, или мы обнаружили ее только очень короткое время назад и теперь работаем над обновлением , которое будет распознавать и содержать вирус.

DELL (https://powermore.dell.com/technology/teaching-your-computer-to-detect-new-viruses/):

Большинство антивирусных программ использует сигнатуры - математически полученные строки или регулярные выражения вредоносного кода - для обнаружения вирусов. Но для этого требуется длительный процесс поиска вредоносного ПО в дикой природе, получение образца, его анализ, создание сигнатуры и добавление в репозиторий, который перенаправляется пользователям в обновлениях антивируса.

Так что, как упоминалось в комментариях, вирусы обнаруживаются только тогда, когда их подписи записываются программным обеспечением безопасности.

Вот ссылка о том, как вы можете использовать ClamAV, чтобы создать свою собственную подпись: http://blog.adamsweet.org/?p=250

источник

2015-06-05 11:21:08

+0

Хорошо, если я понимаю, что существует 2 типа «обнаружения»: 1) Эвристическая 2) База данных, но нет возможности сделать 1000-клиентский сервер на C, так почему он еще не находится в базе данных? Спасибо за ответ человек, я буду искать больше об этом Clam AV, с открытым исходным кодом AV действительно inetresting! –

+0

@LapinouSexy Добро пожаловать. Один бит, отличный от вашего кода, к известному вирусу, сделает его не имеющим подписи. Поэтому я думаю, именно поэтому его не обнаружил, когда используется подход к базе данных. –

+0

Так что это действительно опасно, не так ли? Мой троянец потенциально может быть опасным, даже если я новичок? Единственная защита - это поведение пользователя (и, возможно, брандмауэр), но с небольшим количеством социальной инженерии каждый может пройти через корыто. –

0

Это не обнаружено, потому что большинство вирусов основаны на подписях (черный список), и этот подход в принципе не эффективен, чтобы остановить вредоносные программы, так как ИК- требуется:

  1. a Антивирусная компания, чтобы собрать образец, подтвердить его и написать для него подпись ;
  2. Измените обновление базы данных;
  3. Люди вообще , чтобы обновить свои определения вирусных баз.

До тех пор, пока не будут предприняты шаги 1-3, вирус может распространяться и атаковать ваши устройства. Кроме того, поскольку шаг 3 включает взаимодействие людей (разрешить обновление антивируса), окно атаки может быть не таким коротким.

Общепризнанно, что эффективность антивируса на основе сигнатур составляет около 40% -45%.

В последние несколько лет, антивирусные компании, наконец, признать, что вирусные сигнатуры не путь, и они должны измениться от того, к анализу поведения: http://www.pcworld.com/article/2150743/antivirus-is-dead-says-maker-of-norton-antivirus.html

источник

2015-06-05 21:08:05 Alex

 Смежные вопросы

  • Нет связанных вопросов^_^