Антивирус
-
Программа прибивает запускаемое пользователем приложение, проверяет его бинарник на вирусы, а потом сама запускает бинарник. Вот убийца:Этот файл, будучи запущенным, мочит все программы, запускаемые после него. Только один недостаток - пока он ищет свежий процесс, последний может успеть нарисовать окно или даже сам уничтожить процесс-киллера. Как не дать потенциальному зловреду успеть прогрузиться?ушёл...
не запускать
И мы уже давно не пешки,
Мы пули, мы орлы, и решки!
Война ютит бинарный код,
Умри, или иди вперед!
Мы пули, мы орлы, и решки!
Война ютит бинарный код,
Умри, или иди вперед!
Он безвредный и незаразный, честное слово (i promise)...Gluk wrote:не запускать
ушёл...
Так как программист я пока никудышный, то получился вот такой быдлокод:
Сразу видно, что программа выполняется в виде бесконечного цикла и никак не разгружает процессор - это главный минус. Если кому интересно: какие еще здесь недостатки и как максимально сократить время поиска только что инициализированного процесса?
Code: Select all
use32
db 'MENUET01'
dd 1
dd start
dd i_end
dd mem
dd mem
dd 0, 0
start:
mov EAX, 9
mov EBX, TInfo
mov ECX, -1
int 0x40 ;запрос информации о текущем треде
mov EBX, [EBX+0x1E];смещение TID в буфере
mov [CurrTID], EBX
mov ECX, 2
cycle:
mov EAX, 9 ;проверяем слот №[ECX]
mov EBX, TInfo
int 0x40
cmp byte [EBX+0x32], 9 ;проверка состояния слота потока. слот свободен?
je iteration
mov EAX, [CurrTID] ;
cmp [EBX+0x1E], EAX ;сравнение TID проверяемого слота с TID текущего
jbe iteration
mov EAX, 18 ;убиваем новый процесс
mov EBX, 2
int 0x40
iteration:
inc ECX
cmp ECX, 0xFF ;последний слот?
jbe cycle ;не последний, повтор
mov ECX, 2 ;последний, повтор с первого слота
jmp cycle
CurrTID dd 0
TInfo db 1024 dup(0)
i_end:
align 16
rb 16
mem:
ушёл...
зловреда не запускать я имел ввиду =)
И мы уже давно не пешки,
Мы пули, мы орлы, и решки!
Война ютит бинарный код,
Умри, или иди вперед!
Мы пули, мы орлы, и решки!
Война ютит бинарный код,
Умри, или иди вперед!
Перехватить функцию запуска приложения 70.7 из самописного драйвера.Nasarus wrote:Как не дать потенциальному зловреду успеть прогрузиться?
Ушёл к умным, знающим и культурным людям.
На какие вирусы? А так, антивирус это хорошо), проверяет его бинарник на вирусы
Мы не часть этого мира , мы его творцы
Если под колибри нету еще вирусов, каким образом ты вирусы собирался искать?)))
Сигнатуры несуществующих вирусов, при условии что ты их сам скомпилируешь...))))
Сигнатуры несуществующих вирусов, при условии что ты их сам скомпилируешь...))))
По моему, за вирус может сойти Kolibri Lock, так что нужно проверять бинарники на его наличие.
The motto of the wise is: be prepared for surprised http://vlampochke.esy.es/
Те версии которые доступны обойдешь на раз, а с полной блокировкой я удалилppk-center wrote:По моему, за вирус может сойти Kolibri Lock, так что нужно проверять бинарники на его наличие.
FireFox 38.0 (+Ubuntu) сдулся на этом изображении!!! (комп впал в состоянии комы)Veliant wrote:Осторожно трафик ~1.5мб
Переход к спящему режиму привёл к перезагрузке компа.
Восстановление сессии с этим окном тоже не получилось (пришлось его не восстанавливать)
Грустно всё это как то
P.S. Где запряталась "вишенка"?
Что-то действительно рабочее, или так?
to infinity and beyond
На данном этапе умеет сканировать файлы/каталоги/архивы.
Лог только в консоль и пока что без лечения
Лог только в консоль и пока что без лечения
Тоже неплохо. А на чем написанно?Veliant wrote:На данном этапе умеет сканировать файлы/каталоги/архивы.
Лог только в консоль и пока что без лечения
to infinity and beyond
Who is online
Users browsing this forum: No registered users and 1 guest