В общем появилась такая идея "Добросовестный" файл сканирует систему на наличие антивирусов и файрволлов Разумеется, функция с результатом false не будет 100% гарантией отсутствия антивирусов, но все же хотелось, чтобы этот процент был повыше. После "проверки", и получив результат о том что "все чисто", файл сливает настоящий вирус из интернета, и его запускает. Последнее то я реализую сам, а вот с фунцией на поиск антивирусняков посложнее будет, у меня базы нету ) Может кто нибудь помочь? P.S. В наше время еще можно найти компьютеры с неустановленными защитными программами
1) базы антивирусов нет ни у кого. Максимум - база имен антивирусов. И те уже устаревшие - читай 29А. 2) составить базу самому не представляет никакой сложности 3) зачем такие извраты? Твой файл и будут палить вместо вируса. А когда тот попадет в руки ав, то вирус сами скачают и тоже спалят. Какой толк от этих танцев с бубном?
1) Почему нет? Может ктото до меня этим интересовался и составил например список процессов, использующихся антивирусами 2) Хм, это как сказать. Нужно ставить каждый антивирус и его анализировать, другого варианта представить я не могу 3) Откуда его будут палить? В нем не будет никаких плохих строк кода, а эвристика будет молчать, потом как "мой файл" не будет делать ничего противозаконного, пока не убедится в том, что антивирусы отсутствуют
я тебе уже сказал где искать ничего анализировать не надо - возьми случайные байты в случайных местах и хватит. А вообще, по имени будет гораздо проще петросян )))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))) да попадет к ним в руки и им всё равно, че он там делает. В файле строки для скачивания файла - этого мало? Тупо сигнатуру сделают и доказывай потом, что ты честный кодер... А эвристика не так тупа между прочим, как ты думаешь. Кроме того, найти антивирус в чистом виде сложно. А выход в инет сразу же заблокирует фаер.
на это это если расчитывать, то тебе в принципе нет смысла зиниматься вирусами какими-то как и сказал мсофт, твой лоадер будет детектиться всем чем можно а на говновирус твой возможно если и будет минимум детектов, то только потому что лоадер уже будет в базах и толку от этой схемы будет 0
Кстати ВинХР будет возникать что нет авера, пока его не поставить. А как она узнает что это авер ? Угу у нее в реестре хранятся имена прог. которые можно считать аверами. Усе нинада таскать базу всех аверов, просто посмотрели есть ли проги из этого раздела реестра. Сам адрес раздела не помню, помню что давненько сам в него прописывал НОДа, потому что его там не було.
убеждаться в этом - не законное действие! ключевое здеся ВинХР. конечно новые операционки этим тоже не брезгают, но вот старые (которых пока больше, да и используются в бюджетных организациях), они этой фигней не страдают.
ADD: кстати это только проактивная защита следит за тем, что делает файл, антивирус же сканирует все. на забывайте про это! если вы и не делаете ничего противоправного, но у вас есть этот код - вы вирус!
Ога ога винде можно об этом знать, а другим нет, даешь равноправие !!! Это точно, и не только для бюджетников. На других может просто не быть времени чтоб освободить машинку для апргейда. Но вопрос не в этом. А по вопросу, идея то не нова. Еще в 90-х, аверы прятали себя от вирей. И Dr.Web, детектил файлик со своими настроиками по своему имени, меняя расширение. Adinf, при установке давал себе рандомное имя. Боялись тады. Но смысла детектить Авера мало. Авер боятся - вирь не писать Лучше все таки шифровать тело, обходить проактивку. Но у топикстартера, лоадер. Видимо надо заслать его жертве, и он уже сам должен сориентироваться грузить вирь или нет. Не ну если Мелкософт детектит по названиям прог, то видимо авторам аверов прийдется их стандартизировать...
как раз на такой код и можно пытаться ставить сигнатуры для детекта вот. по этому аверам имеет смысл присекать и такие проги тоже. предупредить заболевание проще чем его вылечить.
Кстати, есть "легальный" путь, без всякого сканирования, базы, etc. 100% надёжности он не даёт, но всё же лучше, чем ничего. Через WMI цепляемся к пространству имён root\SecurityCenter (в Win7 уже есть и root\SecurityCenter2) А дальше всё просто: Code (Text): SELECT * FROM AntiVirusProduct SELECT * FROM AntiSpywareProduct SELECT * FROM FirewallProduct ну и разгребаем результаты, в частности pathToSignedProductExe, productUptoDate, etc. Работает, если ничего не путаю, начиная с XP SP2 (когда в трее появился Security Center) и выше. Разумеется службы могут быть отключены, а всякие левые антивирусы при установке могут не прописываться где надо, хотя нынче это моветон - Security Center будет юзеру досаждать что антивирус не установлен.
