Текущий архив: 2007.01.28;
Скачать: CL | DM;
Вниз
обнаружение врага Найти похожие ветки
← →
cando © (2007-01-08 13:33) [0]Всем прив!
Вобщем я тут задался задачей сделать прогу которая могла бы отличить полезный софт от зловредного без использования дизасемблирования
Принцип действия таков:
1-размер файла(паразиты имеют очень маленький размер иначе ими будет трудно заразить)(если кто знает максимальный размер паразита напишити плиз)
2-к каким файлам обращается(если прога не обращается ни к одному файлу из своей директории скорее всего это враг)
3-какие деиствия она совершает(если присутствует только удаление или только запись то подозрение к проге возрастает)
4-сама директория файла(в системных папках все работаю щие приложения можно принять за подозрительные за исключением конечно стандартных прог)
5-наличие записи в автозапуске(без коментариев)
6-использование портов!
Уважаемые подскажите возможно ли на основе этих данных коректно отличить врага если нет то почему
Если кто знает ещё способы распознания, подскажите!
← →
Gero © (2007-01-08 13:36) [1]Спереди колесо, сзади колесо, руль, педали.
← →
cando © (2007-01-08 13:37) [2]
> Спереди колесо, сзади колесо, руль, педали.
?????????????????????????????????
← →
Virgo_Style © (2007-01-08 13:39) [3]1. MidpX, 1.74 мегабайт, устанавливает какую-то пакость
2. readme.txt
3. как будешь определять, "какие действия она совершает" ?
4. ну более-менее
5. и список исключений на пару тысяч позиций, не менее
6. Doom, Quake, другие игры... firewall"ы... IM"ы... и т.д.
нет %-)
по сигнатурам.
← →
vrem (2007-01-08 13:40) [4]>3. как будешь определять, "какие действия она совершает" ?
Когда действия не хорошие, это сразу видно!
← →
kaZaNoVa © (2007-01-08 13:41) [5]автор пишет антивирус? DrWEB скачать наверное будет и проще и эффективнее
← →
TUser © (2007-01-08 13:41) [6]Можно построить алгоритм, который с какой-нибудь вероятностью будет это делать. Вот, к примеру, точно заявить по последовательностям, что два белка родственны тоже нельзя. Но приблизительно решающие данную задачу алгоритмы есть.
← →
cando © (2007-01-08 13:43) [7]с использование хука все и проявится(пример такого рода проги filemon)
> по сигнатурам.
это как?
← →
cando © (2007-01-08 13:46) [8]
> kaZaNoVa © (08.01.07 13:41) [5]
> автор пишет антивирус? DrWEB скачать наверное будет и проще
> и эффективнее
drweb забудь про этот антивирус он не нходит около 30% вирусов и 45% троянов
← →
kaZaNoVa © (2007-01-08 13:48) [9]cando © (08.01.07 13:46) [8]
какой лучше??
веб у меня даже совсем безобидные проги обзывал всяко (TOOL и т.д.) ...(
← →
kaZaNoVa © (2007-01-08 13:50) [10]cando © (08.01.07 13:33)
6-использование портов!
скажу по секрету - инфу в нет можно передать даже без использования портов, всего-лишь черезShellExecute
← →
cando © (2007-01-08 13:52) [11]безопаснее кода работает не один а несколько но это не для всех компов
> какой лучше??
это спорный вопрос но могу посоветовать avast очень удобный,пропускает ничтожное кол-во всякой бяки,и систему не сильно грузит!
> веб у меня даже совсем безобидные проги обзывал всяко (TOOL
> и т.д.) ...(
он даже картинки bmp иногда инфицированными считает хотя это невозможно
← →
cando © (2007-01-08 13:54) [12]
> всего-лишь через ShellExecute
вот за это спасибо буду думать теперь и над этим
← →
kaZaNoVa © (2007-01-08 13:56) [13]cando © (08.01.07 13:54) [12]
имхо единсвенный способ- просто не запускать ничего левого ..) иначе никак ...
← →
cando © (2007-01-08 13:58) [14]
> имхо единсвенный способ- просто не запускать ничего левого
> ..) иначе никак ...
я тоже этой политики придерживаюсь но есть у меня один знакомый я уже устал его комп лечить, хочу жизнь себе облегчить
← →
kaZaNoVa © (2007-01-08 14:03) [15]
> 5-наличие записи в автозапуске(без коментариев)
Autoruns
Copyright © 1996-2005 Mark Russinovich and Bryce Cogswell
Sysinternals - www.sysinternals.com
находит идеально+умеет фильтровать стандартные проги
← →
kaZaNoVa © (2007-01-08 14:05) [16]
> 2-к каким файлам обращается(если прога не обращается
> ни к одному файлу из своей директории скорее всего это
> враг)
calc.exe фраг #1 будет))))
← →
Anatoly Podgoretsky © (2007-01-08 14:07) [17]> cando (08.01.2007 13:58:14) [14]
Кто же так облегчает, гильотина и то полезней будет.
← →
cando © (2007-01-08 14:08) [18]
> calc.exe фраг #1 будет))))
является стандартной прогой!!!за ней следить нет необходимости
Врагом считается толко прога подходящая под все пункты!
← →
Anatoly Podgoretsky © (2007-01-08 14:10) [19]> cando (08.01.2007 14:08:18) [18]
Это почему не надо?
← →
kaZaNoVa © (2007-01-08 14:12) [20]cando © (08.01.07 14:08) [18]
является стандартной прогой!!!за ней следить нет необходимости
"враг" запускает скрыто calc.exe, цепляет туда dll и наслаждается ... такой вариант тоже надо предусмотреть)) (dll может и не быть-только код в памяти)
← →
DrPass © (2007-01-08 14:14) [21]Смешно. И как ты собрался узнать "без дизассемблирования" (назовем это так), какие действия она совершает?
А если это вполне нормальная, честная программа - но зараженная вирусом?
Порты, ты, надеюсь, имел в виду сетевые?
Тогда предложенный тобой механизм (кроме абсолютно бестолковой фичи "поиска по размеру файла") использует любой антивирус. Причем делает это намного лучше, чем получится у тебя, не сомневайся :)
← →
cando © (2007-01-08 14:17) [22]В таком случае легче будет следить за изменениями в фыйловой системе
теперь можно добавить новый пункт:
7-если прога изменяет стандартные приложения-считать её подозрительной
← →
DrPass © (2007-01-08 14:19) [23]
> 7-если прога изменяет стандартные приложения-считать её
> подозрительной
А если нестандартные? :))))
И все-таки, как ты это собрался определять?
← →
cando © (2007-01-08 14:22) [24]
> DrPass ©
с помощью хука
> А если нестандартные? :))))
врядли враг будет заменять нестандартные проги кто знает что у юзера на компу есть
← →
kaZaNoVa © (2007-01-08 14:23) [25]cando © (08.01.07 14:22) [24]
хук наWriteProcessMemory?)) ;)
← →
Anatoly Podgoretsky © (2007-01-08 14:24) [26]> DrPass (08.01.2007 14:14:21) [21]
Какие сетевые, конечно LPT
← →
Смаг (2007-01-08 14:24) [27]cando © (08.01.07 14:22) [24]
А прога туда где часики запуздыриватся уметь будет? Если да, то стоит с этого и начать.
← →
kaZaNoVa © (2007-01-08 14:25) [28]Anatoly Podgoretsky © (08.01.07 14:24) [26]
хорошая идея, а то фраг может распечатать секретный код на местном принтере :)
← →
DrPass © (2007-01-08 14:27) [29]
> cando © (08.01.07 14:22) [24]
>
> > DrPass ©
>
> с помощью хука
Хука на что? Ты собрался перехватывать вызовы сотни системных функций у всех запускаемых процессов на компе? За такое удовольствие тебе не то, что ругательства со стороны пользователей, тебе статья УК "Вмешательство в работу автоматизированных систем" грозит, дорогой мой :) Да и в базах антивирусов такая чудо-программа окажется через сутки после выхода
> врядли враг будет заменять нестандартные проги кто знает
> что у юзера на компу есть
Будешь удивлен - любому нормальному вирусу не составляет труда поискать исполняемые файлы на компьютере
← →
cando © (2007-01-08 14:28) [30]
> А прога туда где часики запуздыриватся уметь будет? Если
> да, то стоит с этого и начать.
это к защите ни какого отношения не имеет
← →
Смаг (2007-01-08 14:30) [31]cando © (08.01.07 14:28) [30]
хыыы ну это как посмотреть...
← →
DrPass © (2007-01-08 14:31) [32]
> > А прога туда где часики запуздыриватся уметь будет? Если
>
> > да, то стоит с этого и начать.
>
> это к защите ни какого отношения не имеет
Как это не имеет? Грош цена программе, которая не умеет запуздыриваться где часики!
← →
cando © (2007-01-08 14:34) [33]
> DrPass ©
по твоим суждения filemon тоже в базах ужё
> Будешь удивлен - любому нормальному вирусу не составляет
> труда поискать исполняемые файлы на компьютере
это затрудняет процесс написания вируса и не имеет практическо применения поверь уж мне
← →
kaZaNoVa © (2007-01-08 14:36) [34]cando © (08.01.07 14:34) [33]
> Будешь удивлен - любому нормальному вирусу не составляет
> труда поискать исполняемые файлы на компьютере
это затрудняет процесс написания вируса и не имеет практическо применения поверь уж мне
с уважением к автору .... но фразу в орешник! ;))))
← →
DrPass © (2007-01-08 14:39) [35]
> по твоим суждения filemon тоже в базах ужё
Filemon только журнал ведет, и ничего не анализирует.
> это затрудняет процесс написания вируса и не имеет практическо
> применения поверь уж мне
Ах да, как же я забыл! Раз это сам ТЫ сказал - то теперь я верю. Пиши, Мишка, все у тебя получится, стопудово!
← →
cando © (2007-01-08 14:48) [36]
> DrPass ©
имел я опыт написания как всаких
знакомился со спобами атак
пред началом работы по защите необходимо сначало ознакомиться с врагами что я и сделал
такие способы атаки используют только для конкретных компов со сверзащитой простым пользователям такими вирусами заразиться не представляется большой опасности
← →
Anatoly Podgoretsky © (2007-01-08 14:53) [37]> cando (08.01.2007 14:48:36) [36]
> сначало ознакомиться с врагами что я и сделал
Пагубно сказалось на тебе.
← →
cando © (2007-01-08 14:55) [38]а можно всетаки услышать какие нибудь предложения по защите
← →
Смаг (2007-01-08 15:03) [39]cando © (08.01.07 14:55) [38]
Юзай амбарный закок.
← →
Virgo_Style © (2007-01-08 15:04) [40]самая эффективная защита - непопадание в опасные ситуации
Страницы: 1 2 вся ветка
Текущий архив: 2007.01.28;
Скачать: CL | DM;
Память: 0.56 MB
Время: 0.058 c
