0 / 0 / 0
Регистрация: 29.06.2011
Сообщений: 3
|
|
1 | |
Создание поведенческого блокиратора31.07.2011, 12:56. Показов 740. Ответов 1
Метки нет (Все метки)
Привет) В данный момент у меня стоит задача написания антивирусного блокиратора. Целевая система - Windows XP. Мне не нужно создавать эмуляторы, песочницы, прибегать к сигнатурному анализу.
В основе лежит поведенческий блокиратор всех фунциклирующих процессов. От этого момента задача делится на 2: 1) регистрация действия процесса 2) анализ поведения Поиск по п.1 привел к необходимости перехвата вызовов API путем загрузки dll в удаленный поток целевого процесса. В общем, частично задача решена, только что в SYSTEM не могу пока подгружать…и жесткие тормоза и т.п.))) Т.е. в общем случае это – что-то наподобе filemon,regmon, API Monitor. Поиск по п.2 привел к фэйлу. Сама идея как бы и понятна и непонятна. Я не нашел ни 1 методического описания построения цепочек подозрительных действий и т.д. . Только что на некоторых сайтах есть обобщенные описания действий. Кроме того, существует 1000 и 1 способ сделать 1 и тоже. Вопросы: 1) Насчет п2. Имеет ли смысл разрабатывать эту тему? Че и как делать – не очень понятно. Хотелось бы развернутого ответа) 2) Если п1==true, правильно ли выбран метод слежения? Я не использую хуки, так как они не позволяют перехватить взаимодействия с файлами. Скорее всего, я что-то упустил, но все же жду от вас понимания, сочувствия, комментариев по пунктам, вопросам. Заранее СПС.
0
|
31.07.2011, 12:56 | |
Ответы с готовыми решениями:
1
идея поведенческого таргетинга - неудачна Ошибка при использовании штатного блокиратора (nd.lock) Создать базу данных с(Создание функции БД, Создание процедуры БД, Создание тригера БД) Хочу освоить и применить на практике создание локальной сети, создание домена |
Maniac
|
|
04.08.2011, 23:42 | 2 |
Зачем за всеми следить? Достаточно контролировать неизвестные.. ( Но здесь еще можно поспорить )
По другому не выйдет. Как это не позволяют? Перехватывай ZwWriteFile, ZwReadFile и так далее. На счет построения цепочек подозрительных действий немого подумаю..
0
|
04.08.2011, 23:42 | |
04.08.2011, 23:42 | |
Помогаю со студенческими работами здесь
2
Создание кода из строк или создание произвольного количества объектов Создание локальной БД. Создание класса для работы с БД. Ошибка подключения к БД Создание БД учет заявок на доступ к информационным ресурсам: создание отчетов Создание базы данных на лету, создание и заполнение таблиц в базе DB (Paradox? или..). Искать еще темы с ответами Или воспользуйтесь поиском по форуму: |