このミニ記事では、ウイルス対策の機能の一部を署名によって明らかにし、ソフトウェアの作成者がプログラムの評判に浸りたくない場合にパッカーを選ぶという質問に慎重に取り組む必要がある理由についても説明します。
数日前、自分で計画することなく、興味深いウイルス対策テストを実施しました。 それはすべて、私が自分のドライブの失われたフォルダーをさまよいながら、2つのトロイの木馬に出会ったという事実から始まりました。 むかしむかし(2004年
に戻って)、
私は既にウイルス対策テストを実行していました 。 そこで、私の投稿と他のユーザーの投稿でチェックの結果を見ることができます。 次に、バイナリを変更するいくつかのトロイの木馬といくつかのプログラム(さまざまなパッカーやその他のソフトウェア、最後に完全なリストが記載されています)を取りました。 だから私は見るべきアイデアを得ました:7年後に何と命名されたのですか?
残念ながら、最初のテストはありませんでした。 その一部のみ。 しかし、これは実験といくつかの結論に十分であることが判明しました。 テストは
www.virtest.comで実施され
ました 。 これは、理論的には、これまでの結果の妥当性を保証するはずです。
最初の発見は、元の形でDTrトロイの木馬をチェックしたとき、私を待っていました。 元のトロイの木馬ファイルはUPXによってパッケージ化されています。 スキャン結果:
41個のアンチウイルスのうち、2個(eTrustおよびAVL)のみがそれを判別できませんでした 。 次に、同じトロイの木馬(開発者から提供されたもの)の解凍されたファイルを確認しました。 今回
は、41人中31人だけが彼を捕まえた。 合理的な疑問が生じます。そのような簡単な方法でサンプルを回避できる場合、ウイルス対策研究所はサンプルに何を追加しますか? たとえば、UPXアンパッカーがたくさんあります。
その後、2004年に同じひげを生やしたさまざまなパッカーや他のプログラムで処理されたPinch Trojanをテストしました。 結果は次のとおりです(ウイルスを検出したウイルス対策ソフトウェアの数とウイルス対策ソフトウェアの合計数):
アンチウイルスのいくつかの反応を研究した結果、トロイの木馬の署名よりもパッカーの使用により呪われているという結論に達しました。 たとえば、エントリは次のとおりです。
ClamWin Pinch_1.exe PUA.Packed.ASPackまたはここ:
Webroot Pinch.exe Sus/UnkPacker開梱できず、誓いませんでした。
ピンチにはfsgパッカーが付属していたことを思い出しました。 また、セミナーの1つで、VBA32の担当者が、場合によってはパッカーがデータベースに追加されていると述べていることを思い出しました。 ウイルスアナリストによると、このようなパッカーはウイルス作成者自身によって作成されることがよくあります。 まあ、いくつかの真実があります。 特に、さまざまな「暗号ファイルマネージャ」がかつてどのように普及していたかを思い出すと。
私の次の実験:無害なプログラムを取り、さまざまなパッカーで処理してみます。 「犠牲者」として、私が
書いたプログラム
ArpBuilderを選びました。
結果:
- 使用中にPeCompactはClamWinを誓いました。
- fsgの適用で 24のアンチウイルスがscられました 。
この点で、
packersで処理した後、「頭脳」をチェックすることをプログラマに
推奨します 。 そうしないと、ソフトウェアの評判を損なう可能性があり、長い間「誤解が発生した」と説明する必要があります。 私の観察によると、UPXを使用すると、このような問題は発生しません。
同様の実験を行いたい人のために、使用したプログラムをリストします(サイト上の一部のソフトウェアは2004年以降に更新されました)。
- Avx!AVSpoffer
- Dotfix偽の署名者
- fsg
- HidePE、StealthPE
- コンパクト
- ぺパッチャー