¿Cómo probaría que un ejecutable de Windows no es un falso positivo? [cerrado]

Question

¿Cómo probaría que un ejecutable de Windows no es un falso positivo? [cerrado]

#1 de Paul (1 votos)

0

Estoy mirando el método que involucra la descompilación o la edición hexadecimal, pero espero que haya algo más simple disponible, aunque estoy completamente dispuesto a seguir ese camino. El escenario que estoy tratando de resolver es que tengo un ejecutable que está marcado como un virus. Estoy explorando todas las posibilidades e incluyendo la posibilidad de que mi compilador esté inyectando un virus en el código. Tengo el nombre del virus que se está informando. No me importa si el analizador antivirus lo marca nuevamente, pero quiero desarrollar alguna prueba de que este archivo es realmente seguro. Suponiendo que mi papeleo es de confianza, ¿cómo lo haría? Además, suponga que este archivo ejecutable no puede enviarse a la compañía de antivirus para la inclusión en listas heurísticas.

Mientras que esta situación es idónea, en breve, pregunto si tengo un ejecutable y un nombre de virus encontrado por un motor antivirus. ¿Cómo puedo confirmar que el ejecutable no contiene ese virus?

antivirus

pregunta DarkSheep 29.01.2016 - 14:56

fuente

1 respuesta

Lea otras preguntas en las etiquetas antivirus

¿Qué tan seguro es este plan de cifrado? MySQL AES_ENCRYPT Logs Output

score 1 · Answer 1

Creo que esta pregunta está relacionada con el enlace en lugar del foro de seguridad.

Esta es una pregunta extremadamente profunda para responder. Por ejemplo, ¿qué es esta aplicación? Idioma nativo o de código de bytes, por ejemplo. Java, .NET etc.

Por lo tanto, haré algunas suposiciones de que es un ejecutable x86.

Querrás descargar:

Process Monitor : una herramienta realmente útil para ver qué proceso es para el archivo, registro, Red y hilos / procesos.

IDA PRO : un depurador / dissasembler / decompiler extremadamente poderoso para que pueda realmente romper el API conocido desde qué El falso positivo está haciendo. Necesitarás un entendimiento de las ventanas internas. Si me proporciona lo que el virus cree que puedo hacer, le puedo dar una lista de API para investigar bajo el depurador.

API Monitor : una herramienta útil para verificar lo que se está ejecutando a lo largo del tiempo para ver si algo sobresale. Por ejemplo, OpenProcess, WriteProcessMemory, ReadProcessMemory se usa generalmente en el código de inyección en otros procesos y una aplicación general no requeriría estas API.

Idealmente, querrás aprender sobre ingeniería inversa para revisar el código, ya que es extremadamente común omitir los AV y los postigos falsos.