Page 1 of 2
Антивирус
Posted: Sun Apr 11, 2010 9:57 pm
by Nasarus
Программа прибивает запускаемое пользователем приложение, проверяет его бинарник на вирусы, а потом сама запускает бинарник. Вот убийца:
Этот файл, будучи запущенным, мочит все программы, запускаемые после него. Только один недостаток - пока он ищет свежий процесс, последний может успеть нарисовать окно или даже сам уничтожить процесс-киллера. Как не дать потенциальному зловреду успеть прогрузиться?
Re: Антивирус
Posted: Sun Apr 11, 2010 11:19 pm
by Gluk
не запускать
Re: Антивирус
Posted: Mon Apr 12, 2010 12:19 am
by Nasarus
Gluk wrote:не запускать
Он безвредный и незаразный, честное слово (i promise)...
Re: Антивирус
Posted: Mon Apr 12, 2010 3:43 am
by Nasarus
Так как программист я пока никудышный, то получился вот такой быдлокод:
Code: Select all
use32
db 'MENUET01'
dd 1
dd start
dd i_end
dd mem
dd mem
dd 0, 0
start:
mov EAX, 9
mov EBX, TInfo
mov ECX, -1
int 0x40 ;запрос информации о текущем треде
mov EBX, [EBX+0x1E];смещение TID в буфере
mov [CurrTID], EBX
mov ECX, 2
cycle:
mov EAX, 9 ;проверяем слот №[ECX]
mov EBX, TInfo
int 0x40
cmp byte [EBX+0x32], 9 ;проверка состояния слота потока. слот свободен?
je iteration
mov EAX, [CurrTID] ;
cmp [EBX+0x1E], EAX ;сравнение TID проверяемого слота с TID текущего
jbe iteration
mov EAX, 18 ;убиваем новый процесс
mov EBX, 2
int 0x40
iteration:
inc ECX
cmp ECX, 0xFF ;последний слот?
jbe cycle ;не последний, повтор
mov ECX, 2 ;последний, повтор с первого слота
jmp cycle
CurrTID dd 0
TInfo db 1024 dup(0)
i_end:
align 16
rb 16
mem:
Сразу видно, что программа выполняется в виде бесконечного цикла и никак не разгружает процессор - это главный минус. Если кому интересно: какие еще здесь недостатки и как максимально сократить время поиска только что инициализированного процесса?
Re: Антивирус
Posted: Mon Apr 12, 2010 6:34 am
by Gluk
зловреда не запускать я имел ввиду =)
Re: Антивирус
Posted: Wed Apr 14, 2010 10:07 pm
by diamond
Nasarus wrote:Как не дать потенциальному зловреду успеть прогрузиться?
Перехватить функцию запуска приложения 70.7 из самописного драйвера.
Re: Антивирус
Posted: Fri Aug 06, 2010 12:34 pm
by chaykin
, проверяет его бинарник на вирусы
На какие вирусы?
А так, антивирус это хорошо)
Re: Антивирус
Posted: Fri Apr 25, 2014 5:22 pm
by banditoscv
Если под колибри нету еще вирусов, каким образом ты вирусы собирался искать?)))
Сигнатуры несуществующих вирусов, при условии что ты их сам скомпилируешь...))))
Re: Антивирус
Posted: Sat May 10, 2014 2:49 pm
by ppk-center
По моему, за вирус может сойти Kolibri Lock, так что нужно проверять бинарники на его наличие.
Re: Антивирус
Posted: Sun May 11, 2014 9:58 am
by Unusual
ppk-center wrote:По моему, за вирус может сойти Kolibri Lock, так что нужно проверять бинарники на его наличие.
Те версии которые доступны обойдешь на раз, а с полной блокировкой я удалил
Re: Антивирус
Posted: Fri Jun 19, 2015 3:54 pm
by Veliant
Re: Антивирус
Posted: Fri Jun 19, 2015 5:45 pm
by Kopa
Veliant wrote:Осторожно трафик ~1.5мб
FireFox 38.0 (+Ubuntu) сдулся на этом изображении!!! (комп впал в состоянии комы)
Переход к спящему режиму привёл к перезагрузке компа.
Восстановление сессии с этим окном тоже не получилось (пришлось его не восстанавливать)
Грустно всё это как то
P.S. Где запряталась "вишенка"?
Re: Антивирус
Posted: Fri Jun 19, 2015 6:16 pm
by punk_joker
Что-то действительно рабочее, или так?
Re: Антивирус
Posted: Fri Jun 19, 2015 6:18 pm
by Veliant
На данном этапе умеет сканировать файлы/каталоги/архивы.
Лог только в консоль и пока что без лечения
Re: Антивирус
Posted: Fri Jun 19, 2015 7:38 pm
by punk_joker
Veliant wrote:На данном этапе умеет сканировать файлы/каталоги/архивы.
Лог только в консоль и пока что без лечения
Тоже неплохо. А на чем написанно?