|
|
#1
|
|||
|
|||
сканер php-shell
Добрый день!
Народ подскажите, я хочу написать сканер php-shell, но незнаю как мне находить его среди php скриптов. Написал такой сканер на основе MD5 сигнатур и базой данных, но если shell изменить немного, то программа его уже ненаходит. Скажите как лучше огранизовать сканирование так, чтобы программа всегда находила нужный файл? Использовать HEX-сигнатуры? |
#2
|
|||
|
|||
Уже пару дней веду переписку на эту тему:
Цитата:
собственно, если файл локальный, то можно попробовать искать набор некоторых функций (имен). Можнт давать ложные срабатывания, но если грамотно написать, то можно такой поиск обновлять без перекомпилирования основного модуля. |
#3
|
|||
|
|||
мне нужно просто создать базу данных из php-shell, а потом каждый файл проверять с базой данных както так
а файлы находяться на ПК где и сама программа |
#4
|
|||
|
|||
Ну набирай файлы и считай MD5, например.
Но я бы пошел по пути анализа содержимого файлов, как эвристика в антивирусе. Тогда не надо будет затачиваться на точное соотв. конкретного файла его контрольной сумме. |
#5
|
|||
|
|||
да я уже написал программу, которая ищет вредоносный код по базе используя MD5 сигнатуры.
В php-shell'ах можно выставлять пароль для использования скрипта, поетому если пароль изменить, то уже такой php-shell не найдет по базе данных, так что MD5 сигнатуры не то что нужно |
#6
|
||||
|
||||
MD5 чего считается? Скрипта? То есть текстового файла? Если да - хочешь, я за 10 минут сделаю 10 000 новых недетектящихся файлов? (шучу, это подсудное дело; хотя делается элементарно).
Если бинаря, но целиком - то же самое. Антивирусы не от хорошей жизни делаются здоровенными продуктами с эвристическими и поведенческими анализаторами, деобфускаторами, анпакерами, декрипторами и т.д. и т.п. Опиши подробно, что ты понимаешь под php-shell, где там вредоносный код, откуда берется и куда кладется, в каком виде он находится. jmp $ ; Happy End! The Cake Is A Lie. |