Board.KolibriOS.org

Official KolibriOS board
It is currently Sun Jul 12, 2020 8:35 am

All times are UTC+03:00




Post new topic  Reply to topic  [ 21 posts ]  Go to page 1 2 Next
Author Message
 Post subject: Антивирус
PostPosted: Sun Apr 11, 2010 9:57 pm 
Offline
User avatar

Joined: Wed Jan 27, 2010 10:59 am
Posts: 269
Программа прибивает запускаемое пользователем приложение, проверяет его бинарник на вирусы, а потом сама запускает бинарник. Вот убийца:
Attachment:
Killer.kex [1.12 KiB]
Downloaded 239 times

Этот файл, будучи запущенным, мочит все программы, запускаемые после него. Только один недостаток - пока он ищет свежий процесс, последний может успеть нарисовать окно или даже сам уничтожить процесс-киллера. Как не дать потенциальному зловреду успеть прогрузиться?

_________________
ушёл...


Top
   
 Post subject: Re: Антивирус
PostPosted: Sun Apr 11, 2010 11:19 pm 
Offline
User avatar

Joined: Mon Apr 16, 2007 6:38 pm
Posts: 1222
не запускать

_________________
И мы уже давно не пешки,
Мы пули, мы орлы, и решки!
Война ютит бинарный код,
Умри, или иди вперед!


Top
   
 Post subject: Re: Антивирус
PostPosted: Mon Apr 12, 2010 12:19 am 
Offline
User avatar

Joined: Wed Jan 27, 2010 10:59 am
Posts: 269
Gluk wrote:
не запускать

Он безвредный и незаразный, честное слово (i promise)...

_________________
ушёл...


Top
   
 Post subject: Re: Антивирус
PostPosted: Mon Apr 12, 2010 3:43 am 
Offline
User avatar

Joined: Wed Jan 27, 2010 10:59 am
Posts: 269
Так как программист я пока никудышный, то получился вот такой быдлокод:
Code:
use32
   db   'MENUET01'
   dd   1
   dd   start
   dd   i_end
   dd   mem
   dd   mem
   dd   0, 0

start:
   mov   EAX, 9
   mov   EBX, TInfo
   mov   ECX, -1
   int   0x40         ;запрос информации о текущем треде
   mov   EBX, [EBX+0x1E];смещение TID в буфере
   mov   [CurrTID], EBX

   mov   ECX, 2

   cycle:
   mov   EAX, 9         ;проверяем слот №[ECX]
   mov   EBX, TInfo
   int   0x40
   cmp   byte [EBX+0x32], 9 ;проверка состояния слота потока. слот свободен?
   je   iteration
   mov   EAX, [CurrTID]   ;
   cmp   [EBX+0x1E], EAX ;сравнение TID проверяемого слота с TID текущего
   jbe   iteration

   mov   EAX, 18       ;убиваем новый процесс
   mov   EBX, 2
   int   0x40

   iteration:
   inc   ECX
   cmp   ECX, 0xFF     ;последний слот?
   jbe   cycle         ;не последний, повтор
   mov   ECX, 2         ;последний, повтор с первого слота
   jmp   cycle
CurrTID dd   0
TInfo   db   1024 dup(0)
i_end:
align 16
rb 16
mem:

Сразу видно, что программа выполняется в виде бесконечного цикла и никак не разгружает процессор - это главный минус. Если кому интересно: какие еще здесь недостатки и как максимально сократить время поиска только что инициализированного процесса?

_________________
ушёл...


Top
   
 Post subject: Re: Антивирус
PostPosted: Mon Apr 12, 2010 6:34 am 
Offline
User avatar

Joined: Mon Apr 16, 2007 6:38 pm
Posts: 1222
зловреда не запускать я имел ввиду =)

_________________
И мы уже давно не пешки,
Мы пули, мы орлы, и решки!
Война ютит бинарный код,
Умри, или иди вперед!


Top
   
 Post subject: Re: Антивирус
PostPosted: Wed Apr 14, 2010 10:07 pm 
Offline
Kernel Developer
User avatar

Joined: Mon Nov 28, 2005 8:00 pm
Posts: 1601
Nasarus wrote:
Как не дать потенциальному зловреду успеть прогрузиться?

Перехватить функцию запуска приложения 70.7 из самописного драйвера.

_________________
Ушёл к умным, знающим и культурным людям.


Top
   
 Post subject: Re: Антивирус
PostPosted: Fri Aug 06, 2010 12:34 pm 
Offline
User avatar

Joined: Tue Jan 15, 2008 9:30 am
Posts: 61
Quote:
, проверяет его бинарник на вирусы

На какие вирусы? :shock: А так, антивирус это хорошо)

_________________
Мы не часть этого мира , мы его творцы :)


Top
   
 Post subject: Re: Антивирус
PostPosted: Fri Apr 25, 2014 5:22 pm 
Offline

Joined: Fri Apr 25, 2014 4:26 pm
Posts: 1
Если под колибри нету еще вирусов, каким образом ты вирусы собирался искать?)))
Сигнатуры несуществующих вирусов, при условии что ты их сам скомпилируешь...))))


Top
   
 Post subject: Re: Антивирус
PostPosted: Sat May 10, 2014 2:49 pm 
Offline
User avatar

Joined: Mon Apr 22, 2013 5:24 pm
Posts: 119
По моему, за вирус может сойти Kolibri Lock, так что нужно проверять бинарники на его наличие.

_________________
The motto of the wise is: be prepared for surprised http://vlampochke.esy.es/


Top
   
 Post subject: Re: Антивирус
PostPosted: Sun May 11, 2014 9:58 am 
Offline

Joined: Fri Feb 15, 2013 8:23 pm
Posts: 77
ppk-center wrote:
По моему, за вирус может сойти Kolibri Lock, так что нужно проверять бинарники на его наличие.

Те версии которые доступны обойдешь на раз, а с полной блокировкой я удалил


Top
   
 Post subject: Re: Антивирус
PostPosted: Fri Jun 19, 2015 3:54 pm 
Offline

Joined: Thu Jan 26, 2006 8:47 pm
Posts: 284
Осторожно трафик ~1.5мб

http://knikolenko.narod.ru/olderfiles/1/koos_drweb.gif


Top
   
 Post subject: Re: Антивирус
PostPosted: Fri Jun 19, 2015 5:45 pm 
Offline

Joined: Mon Mar 27, 2006 6:33 am
Posts: 684
Veliant wrote:
Осторожно трафик ~1.5мб

FireFox 38.0 (+Ubuntu) сдулся на этом изображении!!! (комп впал в состоянии комы)
Переход к спящему режиму привёл к перезагрузке компа.
Восстановление сессии с этим окном тоже не получилось (пришлось его не восстанавливать)
Грустно всё это как то :)

P.S. Где запряталась "вишенка"?


Top
   
 Post subject: Re: Антивирус
PostPosted: Fri Jun 19, 2015 6:16 pm 
Offline

Joined: Tue Apr 12, 2011 11:19 pm
Posts: 1163
Veliant wrote:
Осторожно трафик ~1.5мб

http://knikolenko.narod.ru/olderfiles/1/koos_drweb.gif

Что-то действительно рабочее, или так?

_________________
я лишь учусь


Top
   
 Post subject: Re: Антивирус
PostPosted: Fri Jun 19, 2015 6:18 pm 
Offline

Joined: Thu Jan 26, 2006 8:47 pm
Posts: 284
На данном этапе умеет сканировать файлы/каталоги/архивы.
Лог только в консоль и пока что без лечения


Top
   
 Post subject: Re: Антивирус
PostPosted: Fri Jun 19, 2015 7:38 pm 
Offline

Joined: Tue Apr 12, 2011 11:19 pm
Posts: 1163
Veliant wrote:
На данном этапе умеет сканировать файлы/каталоги/архивы.
Лог только в консоль и пока что без лечения

Тоже неплохо. А на чем написанно?

_________________
я лишь учусь


Top
   
Display posts from previous:  Sort by  
Post new topic  Reply to topic  [ 21 posts ]  Go to page 1 2 Next

All times are UTC+03:00


Who is online

Users browsing this forum: No registered users and 1 guest


You cannot post new topics in this forum
You cannot reply to topics in this forum
You cannot edit your posts in this forum
You cannot delete your posts in this forum
You cannot post attachments in this forum

Search for:
Jump to:  
Powered by phpBB® Forum Software © phpBB Limited