Аналис вредоносного кода для дальнейшего использование информации антивирусом.

Discussion in 'С/С++, C#, Rust, Swift, Go, Java, Perl, Ruby' started by Leng, 7 Jul 2010.

  1. Leng

    Leng New Member

    Joined:
    30 Jun 2010
    Messages:
    9
    Likes Received:
    0
    Reputations:
    0
    Как-то раз я задумался над работой антивируса, и немного погуглив, нашёл информацию про алгоритмы работающие на основе контрольной суммы вируса. Быстренько реализовав такой алгоритм, понял что этот путь тупиковый, т.к. вирус может самостоятельно или с помощью зло-программера модифицироваться. Больше статей я на эту тему не нашёл и на время оставил эту затею...

    Сегодня же я случайно попал на официальный сайт всеми известной программы AVZ и прочел историю создания, откуда узнал что прога была сделана одиночкой и причём весьма успешно как вы знаете :) Кой-то черт мне "всунул шило в задницу" и теперь я не смогу успокоится, пока не напишу свой рабочий антивирусник с возможностью добавления антивирусных баз.

    А теперь вопрос. Кто знает, как проанализировать код вируса для добавления его "отличительных знаков" в программу. За что я должен цепляться в его дебагнутом ассемблерском коде ...?
     
  2. Gar|k

    Gar|k Moderator

    Joined:
    20 Mar 2009
    Messages:
    1,166
    Likes Received:
    266
    Reputations:
    82
    Что бы написать антивирус ты сам должен уметь писать вирусы
    http://www.z0mbie.daemonlab.org/
     
    _________________________
  3. Leng

    Leng New Member

    Joined:
    30 Jun 2010
    Messages:
    9
    Likes Received:
    0
    Reputations:
    0
    Меня сейчас не волнуют такие моменты, как внедрение антивируса в систему. Я спросил про анализ кода, как он производится. Не владеешь этой информацией - не умничай.
     
  4. X@i0S

    X@i0S New Member

    Joined:
    3 Jul 2010
    Messages:
    7
    Likes Received:
    0
    Reputations:
    0
    Вот это фраза была по настоящему умной! :D
    Нынче анализ кода не в моде, анализ кода сводится к тупому сравнению а тупое сравнение всегда останется тупым сравнением.
    Если хочешь написать кое что, чем кто то заинтересуется - изучай методы и трюки работы вирусов такие вопросы как:
    как они живут?
    с кем общаются?
    как род продолжают? и тп.
    Т.е акцент делай не на морду а на походку! И как сказал великий хацкер - будет тебе щастье! :)
     
  5. flacs

    flacs Member

    Joined:
    28 Jan 2009
    Messages:
    81
    Likes Received:
    31
    Reputations:
    6
    Для разработки антивируса, тебе следует изучить:
    1. Почитать литературу системе команд (ассемблер)
    2. Почитать доки, о форматах исполняемых файлов, в частности PE заголовки (секции, импорты, экспорты, OEP и т.д.)
    3. как действует вирус? (скачать исходник старого вируса на ассемблере)

    После того как овладеешь более менее всей этой информацией, следует сконцентрировать внимание на сигнатурах, распаковкой исполняемых файлов, раскруткой полиморфного кода, эвристический анализ, проактивная защита, и т.д.

    И это только начало пути..., удачи ;)
     
    1 person likes this.
  6. Gar|k

    Gar|k Moderator

    Joined:
    20 Mar 2009
    Messages:
    1,166
    Likes Received:
    266
    Reputations:
    82
    +5 flacs
    а ссылочка которую я давал как раз на вирусную тематику
    например статья там есть О ДЕТЕКТИРОВАНИИ СЛОЖНЫХ ВИРУСОВ

    так что товарищ "хакер" Leng следите за языком
     
    _________________________
  7. 090808

    090808 Member

    Joined:
    15 Mar 2009
    Messages:
    171
    Likes Received:
    46
    Reputations:
    10
    Научись писать вирусы, а потом поймёшь как будет работать антивирус :)
     
  8. gold-goblin

    gold-goblin Elder - Старейшина

    Joined:
    26 Mar 2007
    Messages:
    917
    Likes Received:
    174
    Reputations:
    3
    Народ вы че? о_О
    Половина написанного бред...
    Самый простой способ это сигнатурный.
    Ищешь кусок байт который специфичен для этого вируса и добавляешь его в базу. (подробней в интернете)
    Ну а чтоб добавить "Ума" (эвристики) можно следить за поведением файлов (за созданием авторанов и т.д.)
     
  9. St0nX

    St0nX Elder - Старейшина

    Joined:
    19 May 2007
    Messages:
    257
    Likes Received:
    46
    Reputations:
    0
    Так же как вариант. Выполнять код в песочнице фиксируя все действия исполняемого файла и уже потом те или иные действия как то классифицируя.
     
  10. Leng

    Leng New Member

    Joined:
    30 Jun 2010
    Messages:
    9
    Likes Received:
    0
    Reputations:
    0
    Спасибо, сайт и правда полезный)
    X@ios, st0nX и, как запустить вирус в "песочнице" и контролировать его действия?
     
Loading...