Конференция VBStreets

[_Мика_]

Кто нибудь может мне объяснить как работают антивирусы? Ну т.е. как определить что данный файл является вирусом? Где берут базы жанных вирусов? Где их можно взять, если вообще можно?

[EvilCoder]

Спроси у |kerish| в наших проектах... Он свой Антивирус написал... респект....

Антивирус - сканирует содержимое файлов на содержание в них определеной последовательности байт (сигнатура вируса) характерную определенному Вирусу... и так идет сравнение на ТЫСЯЧИ сегнатур...

[_Мика_]

!!!|kerish|!!! Плиз, отзовись!
Чесно говоря я тоже пишу антивирь


А где эти сингнатуры брать?

[hCORe]

Самому делать А вообще, брось ты это дело. Есть много антивирусов - Kaspersky, Dr.Web, Norton, Panda, AVG, F-Prot, avast! и другие.
Или "непреодолимое желание понтануться" (c) tyomitch ?

[_Мика_]

именно! Особенно перед друзьями

[Amed]

Подцепи себе все вирусы, которые найдёшь. Выцепи из них сигнатуры, заодно и симптомы "из первых уст" опишешь...

[_Мика_]

А как сигнатуры вытаскивать??

[Amed]

Ну нет у вируса специального формата заголовка в котором написана его версия и характерные байты, нет! Можно просто тупо вытаскивать из каждого вируса 100 байт из серединки. Думаю, шанс, что такая же последовательность встретится в другом файле, не слишком велик. А так, надо эвристический анализатор кода писать (если я не ошибаюсь в терминах). Вытаскивать не просто любые 100 байт, а определять и выцеплять ключевые 100 байт...

[_Мика_]

П может CRC??

[hCORe]

... и брать его у 700-мегабайтного файла MPEG4-фильма?

[_Мика_]

мля...а как тогда?? если 100 байт из 700 метрового фильма...то откуда их брвть??

[hCORe]

Может поделить файл, для которого создается сигнатура, на кусочки, скажем, по 1 Кб, и брать несколько таких кусочков - начало [intro], середина [mid], конец [end]. Сохранить 3 этих кусочка и полную сигнатуру.

А потом искать во всех остальных файлах данные из 3 кусков через InStrB. Находишь и проверяешь - в каком месте. Место примерно совпало - файл с подозрением на совпадение. Сверяешь с полной сигнатурой. Сошлось - увы, вирус или похожей направленности прога. Нет - значит нет.

[_Мика_]

А?

[Amed]

Неужели непонятно!? Брать не 100б подряд, а 3 раза по 33б из разных мест тела вируса.

[alibek]

hCORe, твой подход малопригоден для значительной доли вирусов и абсолютно бесполезен против полиморфов. Надо искать сигнатуры, а не дампы кода. А для этого надо в движке антивируса реализовать виртуальную машину, которая будет прогонять в себе код и анализировать его действия.

[hCORe]

И правда. В описании у меня ошибка: если место НЕ совпадает, то надо выполнить полную проверку. А насчет полиморфных - да, надо писать полноценную VM. Но мы же не новый "Касперский" пишем, в самом деле?

[Мамонт]

Надо сделать такой антивирус который ищет вирусы в памяти! Это очень просто! И не надо убиватся над поиском их на винче!

[Amed]

Как, по-вашему, отличить вирус от невируса в памяти?

[_Мика_]

Format C: поможет нам с этим вопросом





ЗЫ я имел ввиду не Format C:, а Format C:

[GAGArin]

Format C: Конечно от вирусов спасает, и от тех что в памяти и ото всех остальных, но по моему искать его в памяти надо по фрагменту найденному на винте (предварительно)...

[_Мика_]

Надо сделать такой антивирус который ищет вирусы в памяти! Это очень просто! И не надо убиватся над поиском их на винче!

я этот Format C: имел ввиду