ウイルス対策プログラムによって実行可能ファイルをスキャンし、VirusTotalの結果を信頼する機能について

みなさんこんにちは。 以下は、多くの愚かなテキスト、ノスタルジックな思い出、shkolotnogoコードです。 さらに、VirusTotalサービスの有効性、および実行可能ファイルに関するアンチウイルスエンジンが考慮されます。

パート1.妄想ノスタルジックなエントリー

私の人生で多くのことが変わりました。 私は現在の仕事に興味を持ちました（場所-睡眠不足の前に）、4年目の私の地域での戦争があり、私の人生で多くの変化と再考がありました。



多くの意見と意見が変わりました。



約15-20年前、私は悪意のあるコードのハッキングと作成のトピックに興味があり、それから私の興味は正反対に変わりました-このビジネスからの保護です



しかし、そうです。 いずれにせよ、ITは私の現在の仕事の一部であることが判明しましたが、初期の専門化とはまったく関係ありません。



約10年前、私は自己解凍型アーカイブを使用してアンチウイルス検出を削除する可能性について非常に狭い範囲で書きました。 それはVirusinfoにあるようで、DrWebにニックネームで再投稿した人もいました-いわば、著作権や作者なしで、それからスキャンダルさえありました-しかし、それも長い間真実ではありませんでした。



そして最近、古いものを思い出しました。 多くが過ぎ、多くのものが更新され、トピックを変更せずに進歩に遅れずについていくことが困難であることが判明しました。



しかし、本質は同じままでした：感覚、お金、そして個人的な利益。 そして、無知のゲーム-メルトダウン/スペクターがテレビや車の搭載コンピューターの脆弱性を探るポイントに達することがあります）））



しかし、この面白くないナンセンスは十分です。 そこで、私は古いものを思い出すことにしました。そして、私はほとんど覚えていないので、古い方法でいくつかのウイルスから検出を削除することにしました。



必要なもの：

1. 学生レベルでのWindowsの学校用バットスクリプトの知識。
2. クイックバッチファイルコンパイラ （以降-QBC）
3. パッケージ7z1800-extra.7z （以降-7Z）の7za.exe
4. upx394w.zipパッケージのupx.exe （以降-UPX ）
5. eicar.comファイルは、たとえばここからダウンロードできます（以降-Eicar）
6. Windows OSを実行するインターネットアクセスを備えた最も基本的なコンピューター

パート2.かなりの理論

先に進むために、何が議論されるかを考えましょう。 ただし、現時点では、以前と同様に、ウイルス対策のテーマが積極的に推進されています。 アンチウイルスは重要なデータの損失を防ぐのに役立ち、アンチウイルスは脆弱性から保護し、アンチウイルスは-つまり、アンチウイルス-これなどです。



さらに、平均的なユーザーは、ウイルス対策が単なるスキャナーではなく、常駐保護とヒューリスティックであり、多くの場合、予防的な保護、ファイアウォール、サンドボックスであることを理解していません。



これらの各コンポーネントに専念することは、単なる記事ではなく、本ではなく、最も基本的なものであるスキャナーに焦点を当てることができます。



このコンポーネントを使用すると、悪意のあるサイトとの接続を防ぐことはできず、悪意のあるコードをその場でキャッチすることはできませんが、ファイルを確認して回答することができます：保存されている場合-またはすぐに永久に削除することをお勧めします。



以下では、さまざまなウイルス対策エンジンをテストし、それらがこのタスクにどのように対処するかを確認します。



VirusTotalリソースについても言及したいと思います。これは、さまざまなウイルス対策エンジンでファイルをチェックできるだけでなく、悪意のある（および一般的には）コードをテストするための一種のサンドボックスでもあります。 Plusプラットフォーム-無料、マイナス-VirusTotalに送信されたすべてのサンプルは、その後すべてのアンチウイルス研究所に転送されます。



このため、以下ではスキャン結果のあるページへのリンクは提供しませんが、作業中に取得したこれらの結果のスクリーンショットを提供します。 明らかに（そして、私はそれを信じたい！）この記事の後、結果は改善されます。



悪意のあるコードの作成者は、非常に頻繁にパッカーとプロテクターを使用します。これらは、悪意のあるファイルを圧縮するだけでなく、署名とその後の分析による検出を困難にします。 WinLicenseやThemidaなどのプロテクターに盗まれたライセンスを使用する場合、アンチウイルス研究所は通常、自分自身を開梱することを気にしませんが、盗まれたキーを持つトレッドシグネチャを検出器（Trojan：W32 / Black.Aなどの有名な検出器）に追加するだけです。 これにより、誤検知が発生します。キージェネレータ、パッチャー、およびいくつかのプログラムの作成者は、本質的に悪意はありませんが、それでも元に戻すことから保護され、同様の盗まれたライセンスを使用します。



この記事に記載されているすべてのものはレビューのために以下に提供されるため、実際の悪意のあるコードでは動作しませんでしたが（スキャン結果は以下に示します）、Eicarファイルを使用しました。これは、ウイルス対策のテストでよく使用されます。アンチウイルスは永続的な検出を提供する必要があります。



それでは始めましょう。

パート3.練習

正直なところ、ComodoとMalwarebytesが何らかの理由で共通の標準に従わず、検出を無視することを決定したため、私が見たものはやや衝撃的でした。 それでも、結果は明らかです。ファイルの検出率は100％に近いです。



最初に合意したように、私たちは完全なshkolotaであるため、独自のパッケージ化方法を発明するのではなく、7Zを使用してファイルをアーカイブにパックするだけです。

7za a eicar.7z eicar.com
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

はい、すべてのウイルス対策エンジンに7Zアーカイブアンパッカーが含まれているわけではないため（または、この設定がVirusTotalにデフォルトで含まれていないため）、検出数は少なくなりますが、検出率は高くなります。



タスクを複雑にします。パスワードを使用してファイルをアーカイブにパックします。 パスワードを楽しくしましょう：

 7za a -mhe=on -pfun eicar-fun.7z eicar.com
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

解凍手順があっても、ウイルス対策プログラムはファイルのパスワードを知らないため、ファイルはクリーンです。



検出が削除されました-ただし、実行可能ファイルを受け取りませんでした。



実際のパッカーでは、ソリューションは非常に複雑になる可能性があるため、これらの詳細については説明しません。 QBCのサービスを使用して、最も簡単なスクリプトを記述します。

 7za e -pfun eicar-fun.7z start eicar.com
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

スクリプトは単にアーカイブを解凍し、結果のファイルを実行します。 QBCでは、このスクリプトに基づいて最も単純な実行可能ファイルを作成できるだけでなく、％myfiles％変数を介してアクセスされるこのファイルに必要な（7za.exeおよびeicar-fun.7zアーカイブ）を含めることもできます。



結果の実行可能ファイルは、ターミナルウィンドウ（いわゆる「ゴースト」）を開かなくてもかまいません。これがまさに必要なものです。







結果のコードは次のとおりです。

 cd %myfiles% 7za e -pfun eicar-fun.7z start eicar.com
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

コンパイル後、結果のdumb_bat.exeファイルはEicarを解凍して起動します。





面白いことに、検出されたファイルは解凍されたファイルの60とアーカイブの41から17に減少しました-アンチウイルスエンジンはいずれもEicarを検出しませんでしたが、検出は明らかにヒューリスティックであり、場合によっては誤検出（DrWeb、Baiduなど）に似ています



先に進みましょう-テスト環境での実行に対する保護をスクリプトに追加します-ファイルが実際のシステムで実行されていることを最も簡単に確認します。 これを行うには、システムにDドライブがあり、その上に少なくとも1つのファイルがある場合にのみ、解凍を開始します。

 cd %myfiles% if exist d:/* (7za e -pfun eicar-fun.7z) start eicar.com
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

そのため、Dディスクチェックは、中国人、ロシア人、ウクライナ人の探偵であるBaidu、DrWeb、Zillyaを「中断」しました。 さらに、これらのエンジンは、他のいくつかのエンジンと同様に、タイムアウト（！）によって停止されました。





ただし、この場合、最初のテストからかなりの時間が経過したため、実験を「クリーン」と見なすことはできません。



この状況は好奇心found盛であることがわかりました。コードの行を次のように変更しました。

 ... if <b>not</b> exist d:/* (7za e -pfun eicar-fun.7z) ...
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

多くのウイルス対策のヒューリスティックの動作に違いがあり（何らかの理由で、AegisLabとBaiduは2番目のケースで何も見つかりませんでした）、ドライブDの存在を確認する際のスキャンにも問題があります。しかし、これは偶然です。一度にこれほど多くのエンジンの「ダンプ」を見たことはありません。



次に進む-ファイルの対話性を追加します。これは、どのテスト環境にも存在しません。 スクリプトを変更します-それを本格的なコンソール（「ゴースト」ではありません）にし、またpauseコマンドを追加します。

 @cd %myfiles% @pause @if exist d:/* (7za e -pfun eicar-fun.7z) > nul @start eicar.com
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

このようなファイルの実行結果は次のとおりです。







ユーザーを中傷したくはありませんが、ほとんどの人がこの場合にキーを押すようです:)いずれにしても、私たちの前には、より明るいソーシャルエンジニアリングのラッパーに包むことができる簡単な例があります。





67検出中6検出。6、カール！ すべてが発見的です。 そして、ほとんどの場合、疑いを持たないユーザーはファイルを安全に見つけるでしょう。



UPXコマンドを使用して結果ファイルを圧縮すると、興味深い結果が得られました。

 upx --best --ultra-brute --8086 --backup --compress-icons=3 dumb_bat3.exe
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

探偵は中国人によって追加されましたが、ウクライナのZillyaはテストに失敗しました。

パート4.結論

それらなしでも可能ですか？ ;）それでは。



もちろん、上記は原始的でシンプルなものであり、人生ではそうではありません。 実際にファイルの実行が最初にプロアクティベーションをトリガーし、その後、常駐モジュールによってブロックされ、最終的なEicarファイルが表示されるためです。



しかし、それはポイントではありません。



実際、最新のウイルス対策スキャナーはジャンクのままであり、数十年または2年前に最も単純なタイプのコードパッケージの前に完全に放牧されていました。 テスト環境の形のソリューション-サンドボックス、ヒューリスティックアナライザーなど 混乱、誤検知のみを追加しましたが、実際には実際の脅威から保護しません。 混乱があったので、古い、オープンで、UPXの根性に噛みついた-彼はとどまった。 しかし、悪意のあるアクティビティの原因となるファイルではなく、コード自体をパックして、ディスク上のファイルを％temp％で動作させませんが、メモリでは、自由に利用できるユーティリティではなく、独自のまたは閉じた開発を使用して、常駐操作をバイパスします保護。 興味深いインターフェース要素を追加したり、共通のプログラムからコピーしたりできます。また、起動したものを信頼して、リクエストに単純に同意する経験の浅いユーザーのアクティベーションをバイパスできます。



上記で行ったことは、ほとんどすべての人が理解して実装できるウイルス対策をだますための基本的な方法です。 そしてそれは働いた。 洗練されたスペシャリストについて言うべきこと！







ファイル、スクリプト、および結果を含むアーカイブは、 ここからダウンロードできます 。



アーカイブには次のものは含まれていません（明らかな理由により、入力されず、要求に応じて提供されません）：上記のメカニズムに従って処理され、以下を含むファイル：

• ファイルインフェクタSality.aa
  
  
  
  
  感染自体のスキャン結果

  
  
  
  
  
  
  ジャングルの恥

  
  
  
  
  
  
  「パッケージング」スキャン結果

  
  
  
• かなり騒々しい、つい最近ロッカーのペティア
  
  
  
  
  感染自体のスキャン結果

  
  
  
  
  
  
  ジャングルで恥を2回

  
  
  
  
  
  
  「パッケージング」スキャン結果