Форум программистов, компьютерный форум, киберфорум
Наши страницы
Delphi для начинающих
Войти
Регистрация
Восстановить пароль
 
Рейтинг 5.00/10: Рейтинг темы: голосов - 10, средняя оценка - 5.00
WestSide072
37 / 15 / 3
Регистрация: 15.07.2010
Сообщений: 320
1

Антивирус

17.09.2010, 20:07. Просмотров 1757. Ответов 10
Метки нет (Все метки)

Недавно задумался написать антивирусник, задумался о том как это можно осуществить, в голову пришло только открыть файл для чтения и искать заветную строчку которая будет подтверждать что это вирус, что то типо C:/Windows/system32/ntos.exe(туда прячется зевс), как это можно осуществить? или как более рационально сделать сканирование?
0
Надоела реклама? Зарегистрируйтесь и она исчезнет полностью.
Similar
Эксперт
41792 / 34177 / 6122
Регистрация: 12.04.2006
Сообщений: 57,940
17.09.2010, 20:07
Ответы с готовыми решениями:

Антивирус
Здравствуйте! У меня возникли проблемы. Кто знает что такое AiD? Так вот, я...

Ругается Антивирус
Почему на этот код ругается антивирус?...

Антивирус-сканер
Думаю сделать сканер на базе нескольких антивирусов. (касперский, др.веб, авира...

антивирус на делфи
есть вирус,написанный на делфи(см.вложения)..к нему нужен антивирус,

Антивирус ругается на троян
Написал программу. Залил на VirusTotal, он определяет что в программе имеется...

10
Zabiyak
КотЪ
217 / 217 / 60
Регистрация: 26.05.2009
Сообщений: 688
17.09.2010, 22:28 2
Для каждого типа вируса по разному Некоторые оставляют хвосты в реестре, некоторые - флаги в виде файлов, третьи создают лишние процессы. Следовательно для них нужны различные алгоритмы поиска.
Работа авторов антивирусов на 75% состоит из обнаружения новых червей и поиска способов их идентификации )

ЗЫ. Между прочим, как мне кажется, зевс и иже с ним прячутся не в системный файл на ЖД, а внедряются в уже загруженный процесс, точнее в его адресное пространство, так что проверка C:/Windows/system32/ntos.exe вам абсолютно ничего не даст
0
Rockedit
Автор FAQ
Автор FAQ
1769 / 578 / 37
Регистрация: 22.12.2009
Сообщений: 1,544
18.09.2010, 11:48 3
почитайте Криса Касперского, насколько я помню, у него про вирусы очень много было)
0
WestSide072
37 / 15 / 3
Регистрация: 15.07.2010
Сообщений: 320
18.09.2010, 13:20  [ТС] 4
Цитата Сообщение от Zabiyak Посмотреть сообщение
Для каждого типа вируса по разному Некоторые оставляют хвосты в реестре, некоторые - флаги в виде файлов, третьи создают лишние процессы. Следовательно для них нужны различные алгоритмы поиска.
Работа авторов антивирусов на 75% состоит из обнаружения новых червей и поиска способов их идентификации )

ЗЫ. Между прочим, как мне кажется, зевс и иже с ним прячутся не в системный файл на ЖД, а внедряются в уже загруженный процесс, точнее в его адресное пространство, так что проверка C:/Windows/system32/ntos.exe вам абсолютно ничего не даст
Развею миф о зевсе - Zevs - Zeus, прописывается в реестр в ключ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit, если ключ <>'C:\WINDOWS\system32\userinit.exe,' значит после "," путь до трояна, собственно я составил алгоритм нахождения зевса, программа работает, удаляет, но хотелось бы как то искать не по ключам в реестре а по Hex'овому коду программы.
PS Да зевс действительно вшивается в winlogon.exe но исполняемый его лежит в папке C:\WINDOWS\system32\ - название файла может быть разным, вот самые распространенные(без версии 1.4(у нее 2исполняемых файла, и оба палятся лишь реестром.))
Код
msrcek32.exe
%SYSTEMROOT%\system32\sdra64.exe
sdra64.exe
twex.exe
%SYSTEMROOT%\system32\hqdh60cr.exe
%SYSTEMROOT%\system32\tgl676s3.exe
%SYSTEMROOT%\system32\0n2gah0g.exe
0
Zabiyak
КотЪ
217 / 217 / 60
Регистрация: 26.05.2009
Сообщений: 688
18.09.2010, 13:26 5
Я не спорю о реестре и отдельных исполняемых файлах - всё так
Я был несогласен с возможностью отловить зевса в хардовой копии заражённого процесса)
0
WestSide072
37 / 15 / 3
Регистрация: 15.07.2010
Сообщений: 320
19.09.2010, 14:12  [ТС] 6
Цитата Сообщение от Zabiyak Посмотреть сообщение
Я не спорю о реестре и отдельных исполняемых файлах - всё так
Я был несогласен с возможностью отловить зевса в хардовой копии заражённого процесса)
Я долго не врубался как снять защиту, все оказалось достаточно легко - зевс при заражении winlogon.exe снимает с него защиту которая вывод сообщение "Это системный процесс, его нельзя завершить." - в итоге его можно закрыть через Диспетчер задач, или
Delphi
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
function KillTask(ExeFileName:string):integer;
const
PROCESS_TERMINATE=$0001;
var
Co:BOOL;
FS:THandle;
FP:TProcessEntry32;
begin
result:=0;
FS:=CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS,0);
FP.dwSize:=Sizeof(FP);
Co:=Process32First(FS,FP);
while integer(Co) <> 0 do
begin
if ((UpperCase(ExtractFileName(FP.szExeFile))=UpperCase(ExeFileName)) or
(UpperCase(FP.szExeFile)=UpperCase(ExeFileName))) then
Result:=Integer(TerminateProcess(OpenProcess(PROCESS_TERMINATE, BOOL(0),
FP.th32ProcessID),0));
Co:=Process32Next(FS,FP);
end;
CloseHandle(FS);
end;
Как осуществить открытие хэксового кода, все еще актуально...

Добавлено через 7 часов 28 минут
up(10символов)

Добавлено через 17 часов 11 минут
up(10символов)
0
alexanderpavlov
1 / 1 / 0
Регистрация: 22.09.2010
Сообщений: 5
22.09.2010, 14:04 7
Здравствуйте, мне кажется лучше всего написать антивирус, который будет назначать соответствующие права («только чтение» и т.д.) на системном диске, чтобы вирусы не смогли туда записаться и изменить программы.

Примечание: подробнее об этой идее можно узнать на сайте http://xakep.ru в статье «Антивирус на помойку».
1
Zabiyak
22.09.2010, 19:25
  #8

Не по теме:

Прикольная реклама сайта...

0
Xander Bass
Йошь-мыслитель
121 / 115 / 25
Регистрация: 22.02.2009
Сообщений: 677
Записей в блоге: 5
22.09.2010, 21:50 9
Цитата Сообщение от alexanderpavlov Посмотреть сообщение
написать антивирус, который будет назначать соответствующие права («только чтение» и т.д.) на системном диске, чтобы вирусы не смогли туда записаться и изменить программы.
Кстати, интересная идея.

А антивирусы опознают вирусы по т.н. сигнатурам. Сигнатуры представляют собой участки программного кода (естественно машинного). Из-за этого кстати возникают проблемы типа этих:
1. Как обойти НОД (опознаёт программу, как троян)
2. Антивирус удаляет созданный файл
Отсюда также необходимость обновляться. Антивирусные базы содержат эти самые сигнатуры.
0
deathNC
1892 / 1005 / 123
Регистрация: 08.12.2009
Сообщений: 2,792
Записей в блоге: 2
23.09.2010, 07:12 10
Идея, конечно, хорошая - мутить "Read Only"...
но вы не задумывались, что вирусы могут убрать ваше "Только Чтение"? По моему, это реализуемая задача...

Я прикрепил к сообщению архив с примерами антивирусов... Это из диска Флёнова Михаила, автора некоторых книг...

Не по теме:

я по Флёновским книгам учился прогать...

1
Вложения
Тип файла: rar Антивирусы.rar (33.5 Кб, 117 просмотров)
deathNC
1892 / 1005 / 123
Регистрация: 08.12.2009
Сообщений: 2,792
Записей в блоге: 2
23.09.2010, 07:17 11
Там, в архиве, и с HEX'ом примеры есть... то есть в константах объявлен хексовый массив - сигнатура. Ну, а потом по сигнатуре сканируются файлы... я сам в это не вникал, разберётесь... там ничего сложного...
0
23.09.2010, 07:17
MoreAnswers
Эксперт
37091 / 29110 / 5898
Регистрация: 17.06.2006
Сообщений: 43,301
23.09.2010, 07:17

Антивирус блокирует приложение
Здравствуйте! У меня проблема в том что моё приложение блокируют все...

Антивирус ругается на прогу
Написал программу на делфи(не вирус). Антивирусы на нее ругаются, пишут что...

Курсовой проект (антивирус)
тестовый вирус... Не могу понять, почему не работает...


Искать еще темы с ответами

Или воспользуйтесь поиском по форуму:
11
Ответ Создать тему
Опции темы

КиберФорум - форум программистов, компьютерный форум, программирование
Powered by vBulletin® Version 3.8.9
Copyright ©2000 - 2018, vBulletin Solutions, Inc.
Рейтинг@Mail.ru