Антивирусы

Разговоры на любые темы: вы можете обсудить здесь какой-либо сайт, найти единомышленников или просто пообщаться...
_Мика_
Гуру
Гуру
 
Сообщения: 1459
Зарегистрирован: 24.10.2003 (Пт) 15:05
Откуда: г. Москва, м.Речной вокзал

Антивирусы

Сообщение _Мика_ » 20.03.2005 (Вс) 13:21

Кто нибудь может мне объяснить как работают антивирусы? Ну т.е. как определить что данный файл является вирусом? Где берут базы жанных вирусов? Где их можно взять, если вообще можно?
-Папа, а правда, что форумы делают людей дибилами?
-гы гы гы, сынок, лол!

EvilCoder
Посланец джихада
Посланец джихада
Аватара пользователя
 
Сообщения: 706
Зарегистрирован: 25.01.2004 (Вс) 15:08

Сообщение EvilCoder » 20.03.2005 (Вс) 14:21

Спроси у |kerish| в наших проектах... Он свой Антивирус написал... респект....

Антивирус - сканирует содержимое файлов на содержание в них определеной последовательности байт (сигнатура вируса) характерную определенному Вирусу... и так идет сравнение на ТЫСЯЧИ сегнатур...
<<------- EvilCoder ------->>

_Мика_
Гуру
Гуру
 
Сообщения: 1459
Зарегистрирован: 24.10.2003 (Пт) 15:05
Откуда: г. Москва, м.Речной вокзал

Сообщение _Мика_ » 20.03.2005 (Вс) 14:52

!!!|kerish|!!! Плиз, отзовись! :D
Чесно говоря я тоже пишу антивирь :oops:


А где эти сингнатуры брать?
-Папа, а правда, что форумы делают людей дибилами?
-гы гы гы, сынок, лол!

hCORe
VB - Экстремал
VB - Экстремал
Аватара пользователя
 
Сообщения: 2332
Зарегистрирован: 22.02.2003 (Сб) 15:21
Откуда: parent directory

Сообщение hCORe » 20.03.2005 (Вс) 16:28

Самому делать :) А вообще, брось ты это дело. Есть много антивирусов - Kaspersky, Dr.Web, Norton, Panda, AVG, F-Prot, avast! и другие.
Или "непреодолимое желание понтануться" (c) tyomitch ? :)
Моду создают модоки, а распространяют модозвоны.

_Мика_
Гуру
Гуру
 
Сообщения: 1459
Зарегистрирован: 24.10.2003 (Пт) 15:05
Откуда: г. Москва, м.Речной вокзал

Сообщение _Мика_ » 20.03.2005 (Вс) 16:59

именно! :wink: Особенно перед друзьями :roll:
-Папа, а правда, что форумы делают людей дибилами?
-гы гы гы, сынок, лол!

Amed
Алфизик
Алфизик
 
Сообщения: 5346
Зарегистрирован: 09.03.2003 (Вс) 9:26

Сообщение Amed » 20.03.2005 (Вс) 17:10

Подцепи себе все вирусы, которые найдёшь. Выцепи из них сигнатуры, заодно и симптомы "из первых уст" опишешь...

_Мика_
Гуру
Гуру
 
Сообщения: 1459
Зарегистрирован: 24.10.2003 (Пт) 15:05
Откуда: г. Москва, м.Речной вокзал

Сообщение _Мика_ » 20.03.2005 (Вс) 17:18

А как сигнатуры вытаскивать?? :roll:
-Папа, а правда, что форумы делают людей дибилами?
-гы гы гы, сынок, лол!

Amed
Алфизик
Алфизик
 
Сообщения: 5346
Зарегистрирован: 09.03.2003 (Вс) 9:26

Сообщение Amed » 20.03.2005 (Вс) 17:29

Ну нет у вируса специального формата заголовка в котором написана его версия и характерные байты, нет! Можно просто тупо вытаскивать из каждого вируса 100 байт из серединки. Думаю, шанс, что такая же последовательность встретится в другом файле, не слишком велик. А так, надо эвристический анализатор кода писать (если я не ошибаюсь в терминах). Вытаскивать не просто любые 100 байт, а определять и выцеплять ключевые 100 байт...

_Мика_
Гуру
Гуру
 
Сообщения: 1459
Зарегистрирован: 24.10.2003 (Пт) 15:05
Откуда: г. Москва, м.Речной вокзал

Сообщение _Мика_ » 20.03.2005 (Вс) 17:32

П может CRC??
-Папа, а правда, что форумы делают людей дибилами?
-гы гы гы, сынок, лол!

hCORe
VB - Экстремал
VB - Экстремал
Аватара пользователя
 
Сообщения: 2332
Зарегистрирован: 22.02.2003 (Сб) 15:21
Откуда: parent directory

Сообщение hCORe » 20.03.2005 (Вс) 17:36

... и брать его у 700-мегабайтного файла MPEG4-фильма?
Моду создают модоки, а распространяют модозвоны.

_Мика_
Гуру
Гуру
 
Сообщения: 1459
Зарегистрирован: 24.10.2003 (Пт) 15:05
Откуда: г. Москва, м.Речной вокзал

Сообщение _Мика_ » 20.03.2005 (Вс) 17:38

мля...а как тогда?? если 100 байт из 700 метрового фильма...то откуда их брвть??
-Папа, а правда, что форумы делают людей дибилами?
-гы гы гы, сынок, лол!

hCORe
VB - Экстремал
VB - Экстремал
Аватара пользователя
 
Сообщения: 2332
Зарегистрирован: 22.02.2003 (Сб) 15:21
Откуда: parent directory

Сообщение hCORe » 20.03.2005 (Вс) 18:04

Может поделить файл, для которого создается сигнатура, на кусочки, скажем, по 1 Кб, и брать несколько таких кусочков - начало [intro], середина [mid], конец [end]. Сохранить 3 этих кусочка и полную сигнатуру.

А потом искать во всех остальных файлах данные из 3 кусков через InStrB. Находишь и проверяешь - в каком месте. Место примерно совпало - файл с подозрением на совпадение. Сверяешь с полной сигнатурой. Сошлось - увы, вирус или похожей направленности прога. Нет - значит нет. :)
Моду создают модоки, а распространяют модозвоны.

_Мика_
Гуру
Гуру
 
Сообщения: 1459
Зарегистрирован: 24.10.2003 (Пт) 15:05
Откуда: г. Москва, м.Речной вокзал

Сообщение _Мика_ » 20.03.2005 (Вс) 18:07

А? :shock:
-Папа, а правда, что форумы делают людей дибилами?
-гы гы гы, сынок, лол!

Amed
Алфизик
Алфизик
 
Сообщения: 5346
Зарегистрирован: 09.03.2003 (Вс) 9:26

Сообщение Amed » 20.03.2005 (Вс) 19:39

Неужели непонятно!? Брать не 100б подряд, а 3 раза по 33б из разных мест тела вируса.

alibek
Большой Человек
Большой Человек
 
Сообщения: 14205
Зарегистрирован: 19.04.2002 (Пт) 11:40
Откуда: Russia

Сообщение alibek » 20.03.2005 (Вс) 19:49

hCORe, твой подход малопригоден для значительной доли вирусов и абсолютно бесполезен против полиморфов. Надо искать сигнатуры, а не дампы кода. А для этого надо в движке антивируса реализовать виртуальную машину, которая будет прогонять в себе код и анализировать его действия.
Lasciate ogni speranza, voi ch'entrate.

hCORe
VB - Экстремал
VB - Экстремал
Аватара пользователя
 
Сообщения: 2332
Зарегистрирован: 22.02.2003 (Сб) 15:21
Откуда: parent directory

Сообщение hCORe » 20.03.2005 (Вс) 21:45

И правда. В описании у меня ошибка: если место НЕ совпадает, то надо выполнить полную проверку. А насчет полиморфных - да, надо писать полноценную VM. Но мы же не новый "Касперский" пишем, в самом деле? :)
Моду создают модоки, а распространяют модозвоны.

Мамонт
Постоялец
Постоялец
Аватара пользователя
 
Сообщения: 479
Зарегистрирован: 21.02.2005 (Пн) 16:48
Откуда: Ленинград

Сообщение Мамонт » 20.03.2005 (Вс) 22:25

Надо сделать такой антивирус который ищет вирусы в памяти! Это очень просто! И не надо убиватся над поиском их на винче!

Amed
Алфизик
Алфизик
 
Сообщения: 5346
Зарегистрирован: 09.03.2003 (Вс) 9:26

Сообщение Amed » 20.03.2005 (Вс) 22:56

Как, по-вашему, отличить вирус от невируса в памяти?

_Мика_
Гуру
Гуру
 
Сообщения: 1459
Зарегистрирован: 24.10.2003 (Пт) 15:05
Откуда: г. Москва, м.Речной вокзал

Сообщение _Мика_ » 20.03.2005 (Вс) 23:00

Format C: поможет нам с этим вопросом





ЗЫ я имел ввиду не Format C:, а Format C: :D
-Папа, а правда, что форумы делают людей дибилами?
-гы гы гы, сынок, лол!

GAGArin
Неистовый флудер
Неистовый флудер
 
Сообщения: 1777
Зарегистрирован: 23.12.2002 (Пн) 12:46
Откуда: я тут взялся, не знаю...

Сообщение GAGArin » 20.03.2005 (Вс) 23:04

Format C: Конечно от вирусов спасает, и от тех что в памяти и ото всех остальных, но по моему искать его в памяти надо по фрагменту найденному на винте (предварительно)...

_Мика_
Гуру
Гуру
 
Сообщения: 1459
Зарегистрирован: 24.10.2003 (Пт) 15:05
Откуда: г. Москва, м.Речной вокзал

Сообщение _Мика_ » 20.03.2005 (Вс) 23:06

Format C: писал(а):Надо сделать такой антивирус который ищет вирусы в памяти! Это очень просто! И не надо убиватся над поиском их на винче!

я этот Format C: имел ввиду :D
-Папа, а правда, что форумы делают людей дибилами?
-гы гы гы, сынок, лол!


Вернуться в Народный треп

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 80

    TopList  
cron