Главная страница
    Top.Mail.Ru    Яндекс.Метрика
Форум: "Прочее";
Текущий архив: 2007.01.28;
Скачать: [xml.tar.bz2];

Вниз

обнаружение врага   Найти похожие ветки 

 
cando ©   (2007-01-08 13:33) [0]

Всем прив!
Вобщем я тут задался задачей сделать прогу которая могла бы отличить полезный софт от зловредного без использования дизасемблирования
Принцип действия таков:
1-размер файла(паразиты имеют очень маленький размер иначе ими будет трудно заразить)(если кто знает максимальный размер паразита напишити плиз)
2-к каким файлам обращается(если прога не обращается ни к одному файлу из своей директории скорее всего это враг)
3-какие деиствия она совершает(если присутствует только удаление или только запись то подозрение к проге возрастает)
4-сама директория файла(в системных папках все работаю щие приложения можно принять за подозрительные за исключением конечно стандартных прог)
5-наличие записи в автозапуске(без коментариев)
6-использование портов!

Уважаемые подскажите возможно ли на основе этих данных коректно отличить врага если нет то почему
Если кто знает ещё способы распознания, подскажите!


 
Gero ©   (2007-01-08 13:36) [1]

Спереди колесо, сзади колесо, руль, педали.


 
cando ©   (2007-01-08 13:37) [2]


> Спереди колесо, сзади колесо, руль, педали.

?????????????????????????????????


 
Virgo_Style ©   (2007-01-08 13:39) [3]

1. MidpX, 1.74 мегабайт, устанавливает какую-то пакость
2. readme.txt
3. как будешь определять, "какие действия она совершает" ?
4. ну более-менее
5. и список исключений на пару тысяч позиций, не менее
6. Doom, Quake, другие игры... firewall"ы... IM"ы... и т.д.

нет %-)
по сигнатурам.


 
vrem   (2007-01-08 13:40) [4]

>3. как будешь определять, "какие действия она совершает" ?
Когда действия не хорошие, это сразу видно!


 
kaZaNoVa ©   (2007-01-08 13:41) [5]

автор пишет антивирус? DrWEB скачать наверное будет и проще и эффективнее


 
TUser ©   (2007-01-08 13:41) [6]

Можно построить алгоритм, который с какой-нибудь вероятностью будет это делать. Вот, к примеру, точно заявить по последовательностям, что два белка родственны тоже нельзя. Но приблизительно решающие данную задачу алгоритмы есть.


 
cando ©   (2007-01-08 13:43) [7]

с использование хука все и проявится(пример такого рода проги filemon)
> по сигнатурам.

это как?


 
cando ©   (2007-01-08 13:46) [8]


> kaZaNoVa ©   (08.01.07 13:41) [5]
> автор пишет антивирус? DrWEB скачать наверное будет и проще
> и эффективнее

drweb забудь про этот антивирус он не нходит около 30% вирусов  и 45% троянов


 
kaZaNoVa ©   (2007-01-08 13:48) [9]

cando ©   (08.01.07 13:46) [8]
какой лучше??
веб у меня даже совсем безобидные проги обзывал всяко (TOOL и т.д.) ...(


 
kaZaNoVa ©   (2007-01-08 13:50) [10]

cando ©   (08.01.07 13:33)
6-использование портов!

скажу по секрету - инфу в нет можно передать даже без использования портов, всего-лишь через ShellExecute


 
cando ©   (2007-01-08 13:52) [11]

безопаснее кода работает не один а несколько но это не для всех компов

> какой лучше??

это спорный вопрос но могу посоветовать avast очень удобный,пропускает ничтожное кол-во всякой бяки,и систему не сильно грузит!

> веб у меня даже совсем безобидные проги обзывал всяко (TOOL
> и т.д.) ...(

он даже картинки bmp иногда инфицированными считает хотя это невозможно


 
cando ©   (2007-01-08 13:54) [12]


>  всего-лишь через ShellExecute

вот за это спасибо буду думать теперь и над этим


 
kaZaNoVa ©   (2007-01-08 13:56) [13]

cando ©   (08.01.07 13:54) [12]
имхо единсвенный способ- просто не запускать ничего левого ..) иначе никак ...


 
cando ©   (2007-01-08 13:58) [14]


> имхо единсвенный способ- просто не запускать ничего левого
> ..) иначе никак ...

я тоже этой политики придерживаюсь но есть у меня один знакомый я уже устал его комп лечить, хочу жизнь себе облегчить


 
kaZaNoVa ©   (2007-01-08 14:03) [15]


> 5-наличие записи в автозапуске(без коментариев)

Autoruns
Copyright © 1996-2005 Mark Russinovich and Bryce Cogswell
Sysinternals - www.sysinternals.com

находит идеально+умеет фильтровать стандартные проги


 
kaZaNoVa ©   (2007-01-08 14:05) [16]


> 2-к каким файлам обращается(если прога не обращается
> ни к одному файлу из своей директории скорее всего это
> враг)

calc.exe фраг #1 будет))))


 
Anatoly Podgoretsky ©   (2007-01-08 14:07) [17]

> cando  (08.01.2007 13:58:14)  [14]

Кто же так облегчает, гильотина и то полезней будет.


 
cando ©   (2007-01-08 14:08) [18]


> calc.exe фраг #1 будет))))

является стандартной прогой!!!за ней следить нет необходимости
Врагом считается толко прога подходящая под все пункты!


 
Anatoly Podgoretsky ©   (2007-01-08 14:10) [19]

> cando  (08.01.2007 14:08:18)  [18]

Это почему не надо?


 
kaZaNoVa ©   (2007-01-08 14:12) [20]

cando ©   (08.01.07 14:08) [18]
является стандартной прогой!!!за ней следить нет необходимости


"враг" запускает скрыто calc.exe, цепляет туда dll  и наслаждается ... такой вариант тоже надо предусмотреть)) (dll может и не быть-только код в памяти)


 
DrPass ©   (2007-01-08 14:14) [21]

Смешно. И как ты собрался узнать "без дизассемблирования" (назовем это так), какие действия она совершает?
А если это вполне нормальная, честная программа - но зараженная вирусом?
Порты, ты, надеюсь, имел в виду сетевые?
Тогда предложенный тобой механизм (кроме абсолютно бестолковой фичи "поиска по размеру файла") использует любой антивирус. Причем делает это намного лучше, чем получится у тебя, не сомневайся :)


 
cando ©   (2007-01-08 14:17) [22]

В таком случае легче будет следить за изменениями в фыйловой системе
теперь можно добавить новый пункт:
7-если прога изменяет стандартные приложения-считать её подозрительной


 
DrPass ©   (2007-01-08 14:19) [23]


> 7-если прога изменяет стандартные приложения-считать её
> подозрительной

А если нестандартные? :))))
И все-таки, как ты это собрался определять?


 
cando ©   (2007-01-08 14:22) [24]


> DrPass ©

с помощью хука

> А если нестандартные? :))))

врядли враг будет заменять нестандартные проги кто знает что у юзера на компу есть


 
kaZaNoVa ©   (2007-01-08 14:23) [25]

cando ©   (08.01.07 14:22) [24]
хук на WriteProcessMemory  ?))    ;)


 
Anatoly Podgoretsky ©   (2007-01-08 14:24) [26]

> DrPass  (08.01.2007 14:14:21)  [21]

Какие сетевые, конечно LPT


 
Смаг   (2007-01-08 14:24) [27]

cando ©   (08.01.07 14:22) [24]
А прога туда где часики запуздыриватся уметь будет? Если да, то стоит с этого и начать.


 
kaZaNoVa ©   (2007-01-08 14:25) [28]

Anatoly Podgoretsky ©   (08.01.07 14:24) [26]
хорошая идея, а то фраг может распечатать секретный код на местном принтере :)


 
DrPass ©   (2007-01-08 14:27) [29]


> cando ©   (08.01.07 14:22) [24]
>
> > DrPass ©
>
> с помощью хука

Хука на что? Ты собрался перехватывать вызовы сотни системных функций у всех запускаемых процессов на компе? За такое удовольствие тебе не то, что ругательства со стороны пользователей, тебе статья УК "Вмешательство в работу автоматизированных систем" грозит, дорогой мой :) Да и в базах антивирусов такая чудо-программа окажется через сутки после выхода


> врядли враг будет заменять нестандартные проги кто знает
> что у юзера на компу есть

Будешь удивлен - любому нормальному вирусу не составляет труда поискать исполняемые файлы на компьютере


 
cando ©   (2007-01-08 14:28) [30]


> А прога туда где часики запуздыриватся уметь будет? Если
> да, то стоит с этого и начать.

это к защите ни какого отношения не имеет


 
Смаг   (2007-01-08 14:30) [31]

cando ©   (08.01.07 14:28) [30]
хыыы ну это как посмотреть...


 
DrPass ©   (2007-01-08 14:31) [32]


> > А прога туда где часики запуздыриватся уметь будет? Если
>
> > да, то стоит с этого и начать.
>
> это к защите ни какого отношения не имеет

Как это не имеет? Грош цена программе, которая не умеет запуздыриваться где часики!


 
cando ©   (2007-01-08 14:34) [33]


> DrPass ©

по твоим суждения filemon тоже в базах ужё

> Будешь удивлен - любому нормальному вирусу не составляет
> труда поискать исполняемые файлы на компьютере

это затрудняет процесс написания вируса и не имеет практическо применения поверь уж мне


 
kaZaNoVa ©   (2007-01-08 14:36) [34]

cando ©   (08.01.07 14:34) [33]
> Будешь удивлен - любому нормальному вирусу не составляет
> труда поискать исполняемые файлы на компьютере

это затрудняет процесс написания вируса и не имеет практическо применения поверь уж мне

с уважением к автору .... но фразу в орешник! ;))))


 
DrPass ©   (2007-01-08 14:39) [35]


> по твоим суждения filemon тоже в базах ужё

Filemon только журнал ведет, и ничего не анализирует.
> это затрудняет процесс написания вируса и не имеет практическо
> применения поверь уж мне

Ах да, как же я забыл! Раз это сам ТЫ сказал - то теперь я верю. Пиши, Мишка, все у тебя получится, стопудово!


 
cando ©   (2007-01-08 14:48) [36]


> DrPass ©

имел я опыт написания как всаких
знакомился со спобами атак
пред началом работы по защите необходимо сначало ознакомиться с врагами что я и сделал
такие способы атаки используют только для конкретных компов со сверзащитой простым пользователям такими вирусами заразиться не представляется большой опасности


 
Anatoly Podgoretsky ©   (2007-01-08 14:53) [37]

> cando  (08.01.2007 14:48:36)  [36]

> сначало ознакомиться с врагами что я и сделал

Пагубно сказалось на тебе.


 
cando ©   (2007-01-08 14:55) [38]

а можно всетаки услышать какие нибудь предложения по защите


 
Смаг   (2007-01-08 15:03) [39]

cando ©   (08.01.07 14:55) [38]
Юзай амбарный закок.


 
Virgo_Style ©   (2007-01-08 15:04) [40]

самая эффективная защита - непопадание в опасные ситуации



Страницы: 1 2 вся ветка

Форум: "Прочее";
Текущий архив: 2007.01.28;
Скачать: [xml.tar.bz2];

Наверх




Память: 0.54 MB
Время: 0.044 c
4-1158090413
Den MoroZ
2006-09-12 23:46
2007.01.28
Перехват NtOpenFile из ntdll


2-1168090790
Volfram
2007-01-06 16:39
2007.01.28
WriteBuffer в InDy 10


15-1168195292
Real
2007-01-07 21:41
2007.01.28
Пожелание относительно форума


4-1158318433
DmiSb
2006-09-15 15:07
2007.01.28
Как узнать какое поля ввода потеряло фокус ?


1-1165072361
Керик
2006-12-02 18:12
2007.01.28
Корректно закрыть процесс





Afrikaans Albanian Arabic Armenian Azerbaijani Basque Belarusian Bulgarian Catalan Chinese (Simplified) Chinese (Traditional) Croatian Czech Danish Dutch English Estonian Filipino Finnish French
Galician Georgian German Greek Haitian Creole Hebrew Hindi Hungarian Icelandic Indonesian Irish Italian Japanese Korean Latvian Lithuanian Macedonian Malay Maltese Norwegian
Persian Polish Portuguese Romanian Russian Serbian Slovak Slovenian Spanish Swahili Swedish Thai Turkish Ukrainian Urdu Vietnamese Welsh Yiddish Bengali Bosnian
Cebuano Esperanto Gujarati Hausa Hmong Igbo Javanese Kannada Khmer Lao Latin Maori Marathi Mongolian Nepali Punjabi Somali Tamil Telugu Yoruba
Zulu
Английский Французский Немецкий Итальянский Португальский Русский Испанский