Board.KolibriOS.org
http://board.kolibrios.org/

Антивирус
http://board.kolibrios.org/viewtopic.php?f=9&t=1434
Page 1 of 2

Author:  Nasarus [ Sun Apr 11, 2010 9:57 pm ]
Post subject:  Антивирус

Программа прибивает запускаемое пользователем приложение, проверяет его бинарник на вирусы, а потом сама запускает бинарник. Вот убийца:
Attachment:
Killer.kex [1.12 KiB]
Downloaded 242 times

Этот файл, будучи запущенным, мочит все программы, запускаемые после него. Только один недостаток - пока он ищет свежий процесс, последний может успеть нарисовать окно или даже сам уничтожить процесс-киллера. Как не дать потенциальному зловреду успеть прогрузиться?

Author:  Gluk [ Sun Apr 11, 2010 11:19 pm ]
Post subject:  Re: Антивирус

не запускать

Author:  Nasarus [ Mon Apr 12, 2010 12:19 am ]
Post subject:  Re: Антивирус

Gluk wrote:
не запускать

Он безвредный и незаразный, честное слово (i promise)...

Author:  Nasarus [ Mon Apr 12, 2010 3:43 am ]
Post subject:  Re: Антивирус

Так как программист я пока никудышный, то получился вот такой быдлокод:
Code:
use32
   db   'MENUET01'
   dd   1
   dd   start
   dd   i_end
   dd   mem
   dd   mem
   dd   0, 0

start:
   mov   EAX, 9
   mov   EBX, TInfo
   mov   ECX, -1
   int   0x40         ;запрос информации о текущем треде
   mov   EBX, [EBX+0x1E];смещение TID в буфере
   mov   [CurrTID], EBX

   mov   ECX, 2

   cycle:
   mov   EAX, 9         ;проверяем слот №[ECX]
   mov   EBX, TInfo
   int   0x40
   cmp   byte [EBX+0x32], 9 ;проверка состояния слота потока. слот свободен?
   je   iteration
   mov   EAX, [CurrTID]   ;
   cmp   [EBX+0x1E], EAX ;сравнение TID проверяемого слота с TID текущего
   jbe   iteration

   mov   EAX, 18       ;убиваем новый процесс
   mov   EBX, 2
   int   0x40

   iteration:
   inc   ECX
   cmp   ECX, 0xFF     ;последний слот?
   jbe   cycle         ;не последний, повтор
   mov   ECX, 2         ;последний, повтор с первого слота
   jmp   cycle
CurrTID dd   0
TInfo   db   1024 dup(0)
i_end:
align 16
rb 16
mem:

Сразу видно, что программа выполняется в виде бесконечного цикла и никак не разгружает процессор - это главный минус. Если кому интересно: какие еще здесь недостатки и как максимально сократить время поиска только что инициализированного процесса?

Author:  Gluk [ Mon Apr 12, 2010 6:34 am ]
Post subject:  Re: Антивирус

зловреда не запускать я имел ввиду =)

Author:  diamond [ Wed Apr 14, 2010 10:07 pm ]
Post subject:  Re: Антивирус

Nasarus wrote:
Как не дать потенциальному зловреду успеть прогрузиться?

Перехватить функцию запуска приложения 70.7 из самописного драйвера.

Author:  chaykin [ Fri Aug 06, 2010 12:34 pm ]
Post subject:  Re: Антивирус

Quote:
, проверяет его бинарник на вирусы

На какие вирусы? :shock: А так, антивирус это хорошо)

Author:  banditoscv [ Fri Apr 25, 2014 5:22 pm ]
Post subject:  Re: Антивирус

Если под колибри нету еще вирусов, каким образом ты вирусы собирался искать?)))
Сигнатуры несуществующих вирусов, при условии что ты их сам скомпилируешь...))))

Author:  ppk-center [ Sat May 10, 2014 2:49 pm ]
Post subject:  Re: Антивирус

По моему, за вирус может сойти Kolibri Lock, так что нужно проверять бинарники на его наличие.

Author:  Unusual [ Sun May 11, 2014 9:58 am ]
Post subject:  Re: Антивирус

ppk-center wrote:
По моему, за вирус может сойти Kolibri Lock, так что нужно проверять бинарники на его наличие.

Те версии которые доступны обойдешь на раз, а с полной блокировкой я удалил

Author:  Veliant [ Fri Jun 19, 2015 3:54 pm ]
Post subject:  Re: Антивирус

Осторожно трафик ~1.5мб

http://knikolenko.narod.ru/olderfiles/1/koos_drweb.gif

Author:  Kopa [ Fri Jun 19, 2015 5:45 pm ]
Post subject:  Re: Антивирус

Veliant wrote:
Осторожно трафик ~1.5мб

FireFox 38.0 (+Ubuntu) сдулся на этом изображении!!! (комп впал в состоянии комы)
Переход к спящему режиму привёл к перезагрузке компа.
Восстановление сессии с этим окном тоже не получилось (пришлось его не восстанавливать)
Грустно всё это как то :)

P.S. Где запряталась "вишенка"?

Author:  punk_joker [ Fri Jun 19, 2015 6:16 pm ]
Post subject:  Re: Антивирус

Veliant wrote:
Осторожно трафик ~1.5мб

http://knikolenko.narod.ru/olderfiles/1/koos_drweb.gif

Что-то действительно рабочее, или так?

Author:  Veliant [ Fri Jun 19, 2015 6:18 pm ]
Post subject:  Re: Антивирус

На данном этапе умеет сканировать файлы/каталоги/архивы.
Лог только в консоль и пока что без лечения

Author:  punk_joker [ Fri Jun 19, 2015 7:38 pm ]
Post subject:  Re: Антивирус

Veliant wrote:
На данном этапе умеет сканировать файлы/каталоги/архивы.
Лог только в консоль и пока что без лечения

Тоже неплохо. А на чем написанно?

Page 1 of 2 All times are UTC+03:00
Powered by phpBB® Forum Software © phpBB Limited
https://www.phpbb.com/