Объясните как это возможно?

Для неординарных вопросов. Если вы опытный программист, попавший в трудную ситуацию, — вам сюда.

Модератор: gaidar

Правила форума
Этот раздел не предназначен для того, чтобы вы адресовали свою проблему профессионалам.
Этот раздел предназначен для профессионалов, которые столкнулись с проблемой и не могут решить ее самостоятельно.
Если вы считаете себя профессионалом, а свою проблему сложной — вам сюда.
Если модератор посчитает, что вы ошиблись, то на первый раз он перенесет ваше сообщение в основной раздел без последствий для автора. Во второй раз тема будет закрыта, а автору будет выписано нарушение. В третий раз автор будет забанен.
|kerish|
Постоялец
Постоялец
 
Сообщения: 831
Зарегистрирован: 22.10.2004 (Пт) 0:31

Объясните как это возможно?

Сообщение |kerish| » 19.09.2006 (Вт) 15:36

Как антивирусные программы ищут на присутствие в файле сотню тысяч сигнатур за несколько секунд?

Я пытался реализовать подобное но скорость была в десятки раз дольше, а с увеличением размера файла и того ужасающая.

alibek
Большой Человек
Большой Человек
 
Сообщения: 14205
Зарегистрирован: 19.04.2002 (Пт) 11:40
Откуда: Russia

Сообщение alibek » 19.09.2006 (Вт) 15:41

Ну они скорее всего сканируют не весь файл, а определенные фрагменты.
Они сканируют в несколько потоков.
Они работают на низком уровне, а не через пару-тройку переходников от readfile до Get #FileNumber (а если в Get идет выборка в строку, так то вообще караул).
Да и скорее всего какие-то свои собственные технологии внедряются.
Lasciate ogni speranza, voi ch'entrate.

|kerish|
Постоялец
Постоялец
 
Сообщения: 831
Зарегистрирован: 22.10.2004 (Пт) 0:31

Сообщение |kerish| » 19.09.2006 (Вт) 15:51

Это понятно.
Короче к чему я вёл, Возможно ли реализовать антивирус, скажем со средней скоростью сканирования на VB?.

keks-n
Доктор VB наук
Доктор VB наук
Аватара пользователя
 
Сообщения: 2509
Зарегистрирован: 19.09.2005 (Пн) 17:17
Откуда: г. Москва

Сообщение keks-n » 19.09.2006 (Вт) 16:00

Делали на VB сканер, правда, он на Adware был большей частью, а не на вирусы.
Изображение

NashRus
Постоялец
Постоялец
 
Сообщения: 388
Зарегистрирован: 18.03.2006 (Сб) 1:16

Сообщение NashRus » 19.09.2006 (Вт) 22:45

Да делали на Spyware. Назывался Microsoft Antispyware после покупки этой конторы Майкрософтом. Практически полностью на ВБ60 был. А теперь переписали на Це и назвали Microsoft Defender.

Andrey Fedorov
Член-корреспондент академии VBStreets
Член-корреспондент академии VBStreets
 
Сообщения: 3287
Зарегистрирован: 21.05.2004 (Пт) 9:28
Откуда: Москва

Сообщение Andrey Fedorov » 08.11.2006 (Ср) 10:35

Кстати, вот ссылочка на какой-то антивирус с исходниками - может в чем-то и поможет...

http://www.planet-source-code.com/vb/sc ... deId=53497
Фиг Вам! - Сказал Чебурашка, обгладывая Крокодила Гену...

r0ot
Начинающий
Начинающий
 
Сообщения: 7
Зарегистрирован: 08.12.2007 (Сб) 20:50

Сообщение r0ot » 10.12.2007 (Пн) 23:43

вирус заражает фрагмент файла...и обычно вначало заносится тело вируса, т.к при запуске проги, она передаёт управление вирусу..который инфицирует приложение..затем и запускается сама прога...зная примерный код вируса, можно спокойно обнаружить его. А на счёт скорости...вб не отличался скоростью чтения/записи и т.д

alibek
Большой Человек
Большой Человек
 
Сообщения: 14205
Зарегистрирован: 19.04.2002 (Пт) 11:40
Откуда: Russia

Сообщение alibek » 11.12.2007 (Вт) 8:18

r0ot, это что было? Ты рассказал все, что знал?
Lasciate ogni speranza, voi ch'entrate.

Antonariy
Повелитель Internet Explorer
Повелитель Internet Explorer
Аватара пользователя
 
Сообщения: 4824
Зарегистрирован: 28.04.2005 (Чт) 14:33
Откуда: Мимо проходил

Сообщение Antonariy » 11.12.2007 (Вт) 10:10

Это уже не актуально. Подавляющее большинство современных "вирусов" программ не заражают, а распространяются в чистом виде через сети. Теоретически можно смело пропускать файлы больше 1мб.
Лучший способ понять что-то самому — объяснить это другому.

r0ot
Начинающий
Начинающий
 
Сообщения: 7
Зарегистрирован: 08.12.2007 (Сб) 20:50

Сообщение r0ot » 11.12.2007 (Вт) 14:07

alibek, он спросил, я ответил как думаю.

Antonariy
Повелитель Internet Explorer
Повелитель Internet Explorer
Аватара пользователя
 
Сообщения: 4824
Зарегистрирован: 28.04.2005 (Чт) 14:33
Откуда: Мимо проходил

Сообщение Antonariy » 11.12.2007 (Вт) 15:08

r0ot
Ты считаешь свой ответ адекватным? На вопрос "как?" обычно отвечают "А вот так:", если знают, а не грузят ненужными и как минимум неточными сведениями. Если не знают - молчат.
Лучший способ понять что-то самому — объяснить это другому.

jangle
Википедик
Википедик
Аватара пользователя
 
Сообщения: 3013
Зарегистрирован: 03.06.2005 (Пт) 12:02
Откуда: Нидерланды

Re: Объясните как это возможно?

Сообщение jangle » 11.12.2007 (Вт) 15:26

|kerish| писал(а):Как антивирусные программы ищут на присутствие в файле сотню тысяч сигнатур за несколько секунд?

Я пытался реализовать подобное но скорость была в десятки раз дольше, а с увеличением размера файла и того ужасающая.


Нету там сотен тысяч сигнатур в секунду, и быть не может. Короче берется файл, разбивается на несколько кусков, для каждого куска считается MD5 (или сразу для всего файла, червь он всегда один файл). Получаемый хэш, является ключом поля антивирусной базы, в котором хранится описание виря.

ALX_2002
Мега гуру
Мега гуру
 
Сообщения: 2054
Зарегистрирован: 25.11.2002 (Пн) 20:03

Re: Объясните как это возможно?

Сообщение ALX_2002 » 13.12.2007 (Чт) 0:22

jangle писал(а):
|kerish| писал(а):Как антивирусные программы ищут на присутствие в файле сотню тысяч сигнатур за несколько секунд?

Я пытался реализовать подобное но скорость была в десятки раз дольше, а с увеличением размера файла и того ужасающая.


Нету там сотен тысяч сигнатур в секунду, и быть не может. Короче берется файл, разбивается на несколько кусков, для каждого куска считается MD5 (или сразу для всего файла, червь он всегда один файл). Получаемый хэш, является ключом поля антивирусной базы, в котором хранится описание виря.


А если код модифицирован ? Или дописывает себя в исполняемые файлы ? И как же тогда эвристический анализ ?

( Не пытаюсь умность показать, просто спрашиваю, потому как не знаю :) )


Вернуться в Раздел для Профессионалов

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 1

    TopList