Форум: "Прочее";
Текущий архив: 2006.08.13;
Скачать: [xml.tar.bz2];
ВнизСтрока, которую не любят антивирусы Найти похожие ветки
← →
Alx_ © (2006-07-10 22:58) [0]Как-то на форуме приводили пример строчки, на сохранение которой в файл
бурно реагировали антивирусные программы. Не могу найти ее.
Не подскажите ?
← →
unknown © (2006-07-10 23:13) [1]X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*
← →
Чайник © (2006-07-11 00:09) [2]
> X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-
> FILE!$H+H*
Попробовал - Касперский (5) чихал на нее.
← →
KilkennyCat © (2006-07-11 00:31) [3]Вывод: "Касперкий" - отстой.
← →
Труп Васи Доброго © (2006-07-11 01:02) [4]unknown © (10.07.06 23:13) [1]
X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*
Реально, BitDefender сразу всполошился, хотя и сказал что файл заражён не вирусом.
← →
TUser © (2006-07-11 01:42) [5]AVG при сканировании написал - 0, хотя попытку запуска присек.
← →
Alx_ © (2006-07-11 02:42) [6]Norton просто уничтожил файл ( правда была возможность поместить в карантин :)
← →
VirEx © (2006-07-11 05:58) [7]nod32 описал вирус как:
Eicar тест файла
ну и естессно изолировал его
← →
Gydvin © (2006-07-11 07:21) [8]
> Попробовал - Касперский (5) чихал на нее.
У меня нет. EICAR-Test-File
← →
КиТаЯц © (2006-07-11 07:27) [9]Symanrec AntiVirus 9.0.0.338 (сканер 61.1.0.11)
ничего не заметил...
← →
vajo (2006-07-11 07:35) [10]> КиТаЯц ©
А у меня определил.
Может у тебя автоматическая защита выключена?
← →
Рамиль © (2006-07-11 08:53) [11]К Касперскому надо подключать дополнительную базу.
← →
atruhin © (2006-07-11 09:05) [12]> AVG при сканировании написал - 0
А у меня сразу матюкнулся, и при нажатии "лечить" удалил его.
← →
VictorT © (2006-07-11 10:06) [13]Я не смог открыть эту ветку в клиенте Magic Forum, Panda сразу замотюкалась и заблокировала :D А в броузере открылось.
← →
Rouse_ © (2006-07-11 10:06) [14]NIS прибил при попытке создания файла :)
← →
Ketmar © (2006-07-11 10:07) [15]AVG отреагировал: Eicar-test.
← →
umbra © (2006-07-11 10:14) [16]e-trust тоже поймал. Неудивительно - это ж тест, который, по идее, должны ловить все антивирусы
← →
Некто © (2006-07-11 12:49) [17]Каспер 4.5 реагирует :-)
← →
StriderMan © (2006-07-11 12:54) [18]для любителей каспера, попробуйте создать батник:
Format C:
Format D:
он его убивает молча. в лог записывает как Trojan Format C
Я когда на это напоролся, думал крыша поехала. Создаю файлик, через несколько секунд - бац - его нет!!!
← →
второе явление Чапаева народу (2006-07-11 12:55) [19]Нортон закарантинил )))
← →
Alx_ © (2006-07-11 13:49) [20]Интересно: Delphi 2005.
На юнит, сожержащий эту строку никто не ругался, но при
сохранении проекта Delphi стала создавать .bak файл
для этого юнита.
← →
Rouse_ © (2006-07-11 14:45) [21]
> StriderMan © (11.07.06 12:54) [18]
> для любителей каспера, попробуйте создать батник:
Проще из программы попробовать выполнить ZwOpenProcess(nil, 0, nil, nil);
Перед этим все что важное желательно сохранить (два раза) :)
← →
StriderMan © (2006-07-11 14:46) [22]
> ZwOpenProcess
это где такая функция?
← →
DrPass © (2006-07-11 15:09) [23]
> это где такая функция?
В ntdll.dll
← →
Cincinnut (2006-07-13 00:47) [24]detected as EICAR test file
state Moved (Clean failed because the file isn"t cleanable)
Это McAfee. собственно эта строчка для этого и нужна - узнать что делает антивирус с вирусами.
← →
Gero © (2006-07-13 09:50) [25]> [21] Rouse_ © (11.07.06 14:45)
Заинтриговал ) Скажи хоть, что произойдет, а то пробовать как-то страшно :)
← →
Der Nechk@ssoff © (2006-07-13 10:16) [26]X5O!P%@AP[4\PZX54(P^)7CC)7}$
EICAR-STANDARD-ANTIVIRUS-TEST-FILE
!$H+H*
Отрезаем то.что выделено и сейвим.
← →
КиТаЯц © (2006-07-13 12:12) [27]BitDefinder 8 rus заблокировал файл в момент и намертво: "доступ к файлу заблокирован, ваш компьютер не заражен".
Прибить файл удалось только принудительным перемещением в карантин и последующим удалением.
← →
Rouse_ © (2006-07-13 15:08) [28]
> Заинтриговал ) Скажи хоть, что произойдет, а то пробовать
> как-то страшно :)
Будет BSOD при попытке разименования четвертого параметра.
← →
Игорь Шевченко © (2006-07-13 15:18) [29]Rouse_ © (11.07.06 14:45) [21]
unit main;
interface
uses
Windows, Messages, SysUtils, Classes, Graphics, Controls, Forms, Dialogs,
StdCtrls;
type
TForm1 = class(TForm)
Button1: TButton;
procedure Button1Click(Sender: TObject);
end;
var
Form1: TForm1;
implementation
uses
NtDll, HsNtDef, NtUtils;
{$R *.DFM}
procedure TForm1.Button1Click(Sender: TObject);
var
Status: NTSTATUS;
begin
Status := NtOpenProcess(nil, 0, nil, nil);
if not NT_SUCCESS(Status) then
RaiseNtError(Status);
end;
end.
BSOD"а нет. Есть статус $C0000005 - Access Violation.
Я что-то сделал не так ?
← →
Rouse_ © (2006-07-13 15:39) [30]
> Я что-то сделал не так ?
Угу, как минимум не сказал какая версия стоит KAV :)
В самой свежей вроде как прикрыли данную дырку.
← →
Игорь Шевченко © (2006-07-13 15:40) [31]
> Угу, как минимум не сказал какая версия стоит KAV
Никакой
← →
Rouse_ © (2006-07-13 15:42) [32]Бууу... сказано же, в драйвере Касперского ошибка, он перехватывает ZwOpenProcess примерно таким образом:
NTSTATUS NewZwOpenProcess (
OUT PHANDLE ProcessHandle,
IN ACCESS_MASK DesiredAccess,
IN POBJECT_ATTRIBUTES ObjectAttributes,
IN PCLIENT_ID ClientId OPTIONAL)
{
if (ClientId->UniqueProcess == MyPid) return STATUS_ACCESS_DENIED;
else return RealZwOpenProcess(ProcessHandle, DesiredAccess,
ObjectAttributes, ClientId);
}
Состветственно на ClientId->UniqueProcess BSOD
← →
Игорь Шевченко © (2006-07-13 15:44) [33]Rouse_ © (13.07.06 15:42) [32]
Касперскому удавиться и сдохнуть.
← →
Rouse_ © (2006-07-13 15:45) [34]
> Касперскому удавиться и сдохнуть.
LOL :)))))
Респект :)))))))
← →
DSKalugin © (2006-07-13 16:20) [35]NtOpenProcess = NtOpenProcess ?
← →
DSKalugin © (2006-07-13 16:22) [36]опечатка, хотел спросить
NtOpenProcess = ZwOpenProcess ?
это одно и тоже?
← →
Rouse_ © (2006-07-13 16:32) [37]
> это одно и тоже?
угу, одна из них валидная, вторая указывает на первую... Забыл кто есть какая... У Шрайбера вроде было описано.
← →
Ketmar © (2006-07-13 20:02) [38]Nt на Zw, а Zw -- в керналь. %-)
Страницы: 1 вся ветка
Форум: "Прочее";
Текущий архив: 2006.08.13;
Скачать: [xml.tar.bz2];
Память: 0.53 MB
Время: 0.046 c