|
|
|
|
|||||||
| Регистрация | << Правила форума >> | FAQ | Пользователи | Календарь | Поиск | Сообщения за сегодня | Все разделы прочитаны |
 |
|
|
Опции темы | Поиск в этой теме | Опции просмотра |
|
#1
25.01.2010, 14:35
|
||||
|
||||
Антивирус, без сигнатур
Здрасвтуйте!
Задача такая: есть программа(которую вот и надо написать) и есть исполняемый файл! Программой проверяем файл и она нам говорит вирус ли это и примерная его опасность! Делать с ним что либо не обязательно, просто вывести информацию о надежности! Сигнатуры не нужны, нужно как то открыть файл, посмотреть лезит ли в реестр, ищет ли другие .EXE-шники, в буфер лезет... и т.д. Не знаю с чего начать %) На форуме нашел подобную тему, но там только про сигнатуры говорится. Как поковырятся в коде программы что бы знать что за что отвечает? Задумки/мысли крутятся разные, а реализации не вижу %) З.Ы. по интернету полазил ни что кроме AiD'а не нашел, там куча всего и своя база опять же сигнатур... |
|
#2
25.01.2010, 16:39
|
||||
|
||||
Тебе нужно через свою программу запустить этот файл в защищенном адресном пространстве, что бы он "не убежал", как то давать ему комманды(события) и контролировать его деятельность...что то типа эмуляции...копай в сторону эвристического анализа...
Все антивирусы сочетают сигнатуры и эвристику... |
|
#3
25.01.2010, 18:50
|
||||
|
||||
Цитата:
Ну это скорее "песочницей" называется, копайтесь в сторону SandBox, или анализируйте импорт и экспорт проги, подгруженные ею файлы и тд |
|
#4
25.01.2010, 21:29
|
||||
|
||||
|
2NIch про сигнатуры и эвристику знаю, про антивирусы статей начитался, как работают...
Мне бы примеры посмотреть про эвристику... не ужели асемблировать придется? Посредством дельфи как все реализовать??? 2Vayrus вот именно как бы покопаться/узнать что делает прога? еще скажите виртуалку сделать %) простая программка, ковыряется в проверяемом файле не лезет ли куда ни будь, ни множится, прячется... Последний раз редактировалось qipko, 25.01.2010 в 21:31. |
|
#5
25.01.2010, 22:02
|
||||
|
||||
|
Цитата:
Про виртуалку, Вы о чем, я о ней не заикался?  Думаю она вам не пригодится) Примеров получения импорта и экспорта в инете навалом, а получение списка используемых или открытых файлов можно и здесь в исходниках найти. ЗЫ По секрету я занимаюсь разработкой (сильно сказано пока ;-) антивирусного ПО, а мой друг по направлению брандмауэра |
|
#6
25.01.2010, 22:54
|
||||
|
||||
|
да это я так, начитался статей %)
за секрет спасибо) так мне даже в процессы лесть не надо, сканировать что запущено и где выполняется не нужно... грубо сказать есть только вот эта программа и файл который нужно проверить. Своей программе указываем на этот файл и вот она должна его проверить... А как? всякие контрольные суммы это можно применить в своей программе например что бы она не заразилась вирусом или уже вот базы делать... А это же простая эвристика, только как в дельфи вот сделать я не знаю %) |
|
#7
26.01.2010, 09:08
|
||||
|
||||
|
Начни с начала...
Запусти песочницу...т.е. среду для запусков файлов...рекомендаций в сети достаточно... Затем эвристика в песочнице проверяй что файл делает... имхо...это не простая задача и одной двумя функциями не обойдешься... поэтому и исходников по этой теме маловато в сети... Ищущий, да найдет... |
|
#8
29.01.2010, 14:51
|
||||
|
||||
|
хотя... можно составить так называемую маленькую базу сигнатур, а именно HEX-коды...
тут сказано так Код:
К примеру они знают что "A2 D9 AC 7A 69" значит что прога пытается дописать какой-то код в тело другого exe-файла. может кто знает, разбирается, поделится опытом? |
Линейный вид
