Detección de antivirus donde se compila exe

2

He estado experimentando con cómo los antivirus detectan las firmas de troyanos para ver algunas cosas para la certificación CEH. Esto ha implicado principalmente jugar con variaciones de Windows EXEs.

Estoy compilando en una máquina virtual Kali usando 'i686-w64-minw32-gcc' y enviando los resultados a Virus Total. Algunos de los servicios antivirus detectarán mis EXE como maliciosos independientemente del contenido. Incluso un main(){ return 0} .

Estoy pensando que hay algo que detecta el simple hecho de que estoy compilando en Kali. Probé un par de cosas básicas, sobre todo pasando por strings my.exe , y realmente no surgió nada.

¿Cómo puedo profundizar en esto?

    
pregunta Tim Brigham 03.11.2016 - 19:55
fuente

2 respuestas

2

Prueba PEStudio. Cortará y eliminará su EXE individual y luego clasificará las partes individuales en VirusTotal. Muy interesante.

Necesitaríamos una muestra EXE para contarle más.

enlace

    
respondido por el StackzOfZtuff 02.07.2017 - 14:28
fuente
0

Dado que la tecnología AV es mayoritariamente patentada, no podré ayudar allí.

Si desea profundizar en el archivo, IDA Pro free 5.0 por lo general puede darle sentido al archivo, pero existen otras herramientas. Probablemente la palabra clave que está buscando en: depurador, desensamblador.

Si desea saber más sobre el estándar de PE / EXE, y es una realidad, lo recomendaría corkami , que trata sobre la realidad del formato, en lugar de los estándares que recomienda Microsoft.

En cuanto a cómo se detecta su compilador: es muy probable que esto sea una cadena en un archivo, si no lo es, entonces puede ser detectado por innumerables referencias a su biblioteca, etc. un virus conocido ...

    
respondido por el axapaxa 03.11.2016 - 20:26
fuente

Lea otras preguntas en las etiquetas