всплыла у меня древняя идея по поводу отыскивания всяких злобных вирусов на компе. А что если просканировать все системные файлы на свежеустановленной винде (для каждой версии и каждого сервис-пака), подсчитать хэш для каждого файла, и сложить в базу. Имея такую базу, можно сканировать системный диск и отбрасывать файлы, хэши которых уже есть в базе, а вот остальные рассматривать более подробно. Возможно, это будет проще, чем искать среди всех имеющихся на диске файлов. Интересно, существуют ли уже такие базы, есть ли подобный софт? Я что-то ничего не откопал пока...
идея хорошая, если не считать, что заражают обычно системные файлы. А они уже у тебя в хеш таблици, и ты просто пропустишь зараженный файл при сканировании.Поэтому и надо сканировать все. А ивой алгоритм подходит только для удаления программ, установленный после системы.
Stariy У меня тоже подобная идея была (кажется, я даже кому-то о ней говорил). Благо, MS исправно ставит версии в свои файлы.
Не, почему... Берешь самую что ни на есть официальную винду, распаковываешь, ставишь. Больше ничего не ставишь, чтоб не проникли вирусы. Потом сканируешь все файлы и делаешь базу. И интегрируешь все это в загрузочный диск. Потом вирусы нападают на твой комп, заражают там все насквозь. Ты грузишься с твоего сидюка, натравливаешь прогу на системный раздел и она выдает тебе список файлов, которых нет в базе. Если системный файл заражен вирусом, то его хэш изменится и в базе его не будет, и он тоже попадет в список подозрительных. И потом уже эти подозрительные файлы терзаешь антивирусами или вручную. Скорее всего даже именно вручную. Кажется, если отбросить всякие микроскопические вероятности, связанные с хэшированием, то все очень даже неплохо смотрится. Вопрос только в том, нет ли уже готовых баз, поскольку делать их самому - тяжкий и кропотливый труд.
Помоему фиговый метод. 1 - Апдейт винды наверняка изменяет, добавляет файлы. ? 2 - Это будет иметь хоть какой-то смысл только если запускать сканирование с загрузочного винта, чтобы обезопаситься от большинства руткитов. Но для этого большинства уже есть антируткиты. А делать это чтобы найти юзермодные малвари слишком неоправдано. Сканиться будет довольно долго,чтобы в итоге найти пару файлов, которые итак можно увидеть в procexp, autoruns или просто отсортировав файлы в system32 по дате))) Но если чисто по приколу сделать то вперед)) А базы собирать не нужно. Создавай базу и ложи ее на съемный носитель и пусть юзер ее хранит)
Конечно. За этим надо следить, но это в идеале. Скачивать апдейты, потрошить, считать хэши и добавлять в базу. Ты имел ввиду - с загрузочного CD? Ну или с того винта, не на котором стоит основная ОС? Это, безусловно, так. Ну уж дату то выставить правильную автор нормального руткита сумеет, небось Да я вот и думаю... Если заставлять юзера делать базу самому, то есть вероятность, что он отсканит уже зараженную систему, и все дальнейшие потуги будут бессмысленны. Но вообще, это ж не планируется как коммерческий продукт, и даже распространение какое-либо не планируется, это пока просто идея чисто для личного пользования... Меня просто задолбало, когда комп через пару недель после установки винды начинает тормозить жутко и тупить. Сначала грешил на дистрибутив, но у жены с того же диска винда, и все работает нормально. Она правда комп юзает только для винампа и для ЖЖ, больше ничего. А у меня очень быстро начинаются косяки. Менял дистрибутив, даже ставил корпоративную лицензионную винду. Менял ноут на более новый. Менял несколько раз фаервол. Все бесполезно. Причем у меня есть комп специально для работы, на нем в принципе нет интернета - он нормально работает годами, последний раз винду переставлял года полтора назад. Получается, что дело в моей личной несовместимости с интернетом. Вот и решил попробовать хирургическим путем, тупо откинуть все лишнее и детально изучить оставшееся.
Ну у меня на компе-ноуте никогда не было вирусов кроме тех что я сам запускал случайно)) У друзей, знакомых никогда не видел руткитов, обычно всякая юзермодная хрень, которая выносится за 10 минут руками, как я уже говорил. Что-то мало верится что вы постоянно заражаетесь какими-то супер-новыми руткитами, от которых ав+антирк+фаер не помогают... Руткиту это не требуется, т.к. его файлов не видно вообще. Помоему для вас подойдет просто список файлов)) Без всяких хешей.
От гуанотроев не спасет. Они, в основном, не заражают системные файлы. Если иметь базу хэшей - то для всех апдейтов и версий. Сложновато, но достаточно написать один раз утиль, потом прогнать по всем билдам %) Особого смысла нету. А вот проверять хэши модулей в памяти..)
да легче уже из дровера запрещать запись в авторановые ключи + изменение системных файлов. 90% малвари отпадет сразу же.
Никакие базы не нужны, все системные файлы (которые имеют отношение к ОС) подписаны, подпись проверяется в 5 строк за счет CryptoAPI, если нет подписи или подпись неверна - заменить на копию
