Троян (Простой клиент-сервер в C)

Question

Троян (Простой клиент-сервер в C)

Поэтому я начал сетевое программирование несколько дней назад и создал очень простой троян (жертвы запускают клиент, который создает соединение с ПК хакеров, а затем хакеры могут выполнять функцию CMD с помощью простой команды system()).

В основном мой троян работает, но я не понимаю, почему мой Антивирус его не обнаруживает. Я имею в виду, что единственное, что могло остановить мой троян, это мой брандмауэр, который обнаружил исходящее соединение. Поэтому я не понимаю, почему обнаружены другие трояны, но не этот новый.

Я могу предоставить исходный код, если это необходимо, и я хотел бы подчеркнуть, что я делаю это только для образовательных целей. Я никогда не буду использовать эти знания для нападения на кого-либо (во всяком случае, у меня недостаточно навыков), я просто хочу учиться и понимать:).

1

c security firewall virus trojan

Источник

user4126775 05 июн '15 в 11:09

2 ответа

Решение

Это не обнаружено, потому что большинство антивирусов основаны на сигнатурах (черные списки), и этот подход в основном не эффективен для остановки вредоносных программ, потому что для этого требуется:

антивирусная компания собирает образец, подтверждает его и пишет для него подпись;
Выпускать обновление базы данных;
Люди вообще обновляют свои определения вирусных баз.

Пока не предприняты шаги 1-3, вирус может свободно распространяться и атаковать ваши устройства. Кроме того, поскольку шаг 3 предусматривает взаимодействие с людьми (позволяет обновлять антивирус), окно атаки может быть не таким коротким.

Общепринято, что эффективность сигнатурного антивируса составляет около 40%-45%.

В последние пару лет антивирусные компании, наконец, признают, что сигнатуры вирусов - это не тот путь, и они должны перейти от анализа к поведению: http://www.pcworld.com/article/2150743/antivirus-is-dead-says-maker-of-norton-antivirus.html

0

Источник

user556268 05 июн '15 в 21:08

Другие вопросы по тегам c security firewall virus trojan

user4953473 05 июн '15 в 11:21 2015-06-05 11:21 · Accepted Answer · 2015-06-05 11:21

Авира:

AMES использует движок Avira для обнаружения вирусов. Если ядро Avira не может обнаружить вирус, наиболее вероятной причиной может быть то, что этот вирус является новым и пока не может быть обнаружен. Мы будем очень признательны, если вы отправите нам подозрительный файл, чтобы мы могли немедленно проанализировать его. Наша вирусная лаборатория впоследствии отправит вам отзыв. Если мы не можем обнаружить подозрительный файл как вирус, мы будем работать над созданием обновления, чтобы убедиться, что мы обнаружим файл в будущем.

AVG:

Иногда новый вирус не обнаруживается, даже если ваш AVG полностью обновлен. Это происходит, когда угроза была только что написана или выпущена, или мы обнаружили ее совсем недавно, и сейчас работаем над обновлением, которое распознает и содержит вирус.

DELL ( https://powermore.dell.com/technology/teaching-your-computer-to-detect-new-viruses/):

Большинство антивирусных программ используют сигнатуры - математически полученные строки или регулярные выражения вредоносного кода - для обнаружения вирусов. Но для этого требуется длительный процесс поиска вредоносных программ в дикой природе, получения образца, анализа его, создания подписи и добавления ее в хранилище, которое отправляется пользователям в обновлениях антивируса.

Так что, как упоминалось в комментариях, кажется, что вирусы обнаруживаются только тогда, когда их сигнатуры регистрируются программным обеспечением безопасности.

Вот ссылка на то, как вы можете использовать ClamAV для создания собственной подписи: http://blog.adamsweet.org/?p=250