Есть ли база хэшей системных файлов?

Тема в разделе "WASM.HEAP", создана пользователем Stariy, 18 окт 2009.

  1. Stariy

    Stariy Member

    Публикаций:
    0
    Регистрация:
    22 окт 2003
    Сообщения:
    529
    Адрес:
    Russia
    всплыла у меня древняя идея по поводу отыскивания всяких злобных вирусов на компе. А что если просканировать все системные файлы на свежеустановленной винде (для каждой версии и каждого сервис-пака), подсчитать хэш для каждого файла, и сложить в базу. Имея такую базу, можно сканировать системный диск и отбрасывать файлы, хэши которых уже есть в базе, а вот остальные рассматривать более подробно.
    Возможно, это будет проще, чем искать среди всех имеющихся на диске файлов. Интересно, существуют ли уже такие базы, есть ли подобный софт? Я что-то ничего не откопал пока...
     
  2. abcd008

    abcd008 New Member

    Публикаций:
    0
    Регистрация:
    8 фев 2009
    Сообщения:
    616
    идея хорошая, если не считать, что заражают обычно системные файлы. А они уже у тебя в хеш таблици, и ты просто пропустишь зараженный файл при сканировании.Поэтому и надо сканировать все.

    А ивой алгоритм подходит только для удаления программ, установленный после системы.
     
  3. Mika0x65

    Mika0x65 New Member

    Публикаций:
    0
    Регистрация:
    30 июл 2005
    Сообщения:
    1.384
    Stariy
    У меня тоже подобная идея была (кажется, я даже кому-то о ней говорил). Благо, MS исправно ставит версии в свои файлы.
     
  4. Stariy

    Stariy Member

    Публикаций:
    0
    Регистрация:
    22 окт 2003
    Сообщения:
    529
    Адрес:
    Russia
    Не, почему... Берешь самую что ни на есть официальную винду, распаковываешь, ставишь. Больше ничего не ставишь, чтоб не проникли вирусы. Потом сканируешь все файлы и делаешь базу. И интегрируешь все это в загрузочный диск. Потом вирусы нападают на твой комп, заражают там все насквозь. Ты грузишься с твоего сидюка, натравливаешь прогу на системный раздел и она выдает тебе список файлов, которых нет в базе. Если системный файл заражен вирусом, то его хэш изменится и в базе его не будет, и он тоже попадет в список подозрительных. И потом уже эти подозрительные файлы терзаешь антивирусами или вручную. Скорее всего даже именно вручную. Кажется, если отбросить всякие микроскопические вероятности, связанные с хэшированием, то все очень даже неплохо смотрится. Вопрос только в том, нет ли уже готовых баз, поскольку делать их самому - тяжкий и кропотливый труд.
     
  5. dag

    dag New Member

    Публикаций:
    0
    Регистрация:
    17 авг 2004
    Сообщения:
    446
    А чем это -> нттр://msdl.microsoft.com/download/symbols <- не хранилище хэшей ?
     
  6. RamMerLabs

    RamMerLabs Well-Known Member

    Публикаций:
    0
    Регистрация:
    11 сен 2006
    Сообщения:
    1.426
    вроде apple занимался чем-то подобным, может стОит к нему обратиться?
     
  7. onSide

    onSide New Member

    Публикаций:
    0
    Регистрация:
    18 июн 2008
    Сообщения:
    476
    Помоему фиговый метод.
    1 - Апдейт винды наверняка изменяет, добавляет файлы. ?
    2 - Это будет иметь хоть какой-то смысл только если запускать сканирование с загрузочного винта, чтобы обезопаситься от большинства руткитов. Но для этого большинства уже есть антируткиты.
    А делать это чтобы найти юзермодные малвари слишком неоправдано. Сканиться будет довольно долго,чтобы в итоге найти пару файлов, которые итак можно увидеть в procexp, autoruns или просто отсортировав файлы в system32 по дате)))

    Но если чисто по приколу сделать то вперед)) А базы собирать не нужно. Создавай базу и ложи ее на съемный носитель и пусть юзер ее хранит)
     
  8. Stariy

    Stariy Member

    Публикаций:
    0
    Регистрация:
    22 окт 2003
    Сообщения:
    529
    Адрес:
    Russia
    Конечно. За этим надо следить, но это в идеале. Скачивать апдейты, потрошить, считать хэши и добавлять в базу.

    Ты имел ввиду - с загрузочного CD? Ну или с того винта, не на котором стоит основная ОС? Это, безусловно, так.

    Ну уж дату то выставить правильную автор нормального руткита сумеет, небось :)


    Да я вот и думаю... Если заставлять юзера делать базу самому, то есть вероятность, что он отсканит уже зараженную систему, и все дальнейшие потуги будут бессмысленны. Но вообще, это ж не планируется как коммерческий продукт, и даже распространение какое-либо не планируется, это пока просто идея чисто для личного пользования... Меня просто задолбало, когда комп через пару недель после установки винды начинает тормозить жутко и тупить. Сначала грешил на дистрибутив, но у жены с того же диска винда, и все работает нормально. Она правда комп юзает только для винампа и для ЖЖ, больше ничего. А у меня очень быстро начинаются косяки. Менял дистрибутив, даже ставил корпоративную лицензионную винду. Менял ноут на более новый. Менял несколько раз фаервол. Все бесполезно. Причем у меня есть комп специально для работы, на нем в принципе нет интернета - он нормально работает годами, последний раз винду переставлял года полтора назад. Получается, что дело в моей личной несовместимости с интернетом. Вот и решил попробовать хирургическим путем, тупо откинуть все лишнее и детально изучить оставшееся.
     
  9. onSide

    onSide New Member

    Публикаций:
    0
    Регистрация:
    18 июн 2008
    Сообщения:
    476
    Ну у меня на компе-ноуте никогда не было вирусов кроме тех что я сам запускал случайно))
    У друзей, знакомых никогда не видел руткитов, обычно всякая юзермодная хрень, которая выносится за 10 минут руками, как я уже говорил. Что-то мало верится что вы постоянно заражаетесь какими-то супер-новыми руткитами, от которых ав+антирк+фаер не помогают...

    Руткиту это не требуется, т.к. его файлов не видно вообще.

    Помоему для вас подойдет просто список файлов)) Без всяких хешей.
     
  10. Stariy

    Stariy Member

    Публикаций:
    0
    Регистрация:
    22 окт 2003
    Сообщения:
    529
    Адрес:
    Russia
    хм...может и впрямь без хэшей попробовать... Ох, подозрительно все это... Ох, подозрительно...
     
  11. valterg

    valterg Active Member

    Публикаций:
    0
    Регистрация:
    19 авг 2004
    Сообщения:
    2.105
    Stariy Потрассируй утилиту sfc.exe - она хранит и проверяет хеши системных файлов.
     
  12. Folk Acid

    Folk Acid New Member

    Публикаций:
    0
    Регистрация:
    23 авг 2005
    Сообщения:
    432
    Адрес:
    Ukraine
    man debsums
    rpm -V
     
  13. IceT

    IceT IceT

    Публикаций:
    0
    Регистрация:
    13 авг 2009
    Сообщения:
    233
    Адрес:
    RU
    От гуанотроев не спасет. Они, в основном, не заражают системные файлы. Если иметь базу хэшей - то для всех апдейтов и версий. Сложновато, но достаточно написать один раз утиль, потом прогнать по всем билдам %) Особого смысла нету. А вот проверять хэши модулей в памяти..)
     
  14. Folk Acid

    Folk Acid New Member

    Публикаций:
    0
    Регистрация:
    23 авг 2005
    Сообщения:
    432
    Адрес:
    Ukraine
    IceT
    Ты о чем? О инжекте из драйвера в виртуальные страницы?
     
  15. IceT

    IceT IceT

    Публикаций:
    0
    Регистрация:
    13 авг 2009
    Сообщения:
    233
    Адрес:
    RU
    Да как угодно.
     
  16. int_256

    int_256 New Member

    Публикаций:
    0
    Регистрация:
    24 авг 2009
    Сообщения:
    11
    если всплыла древняя идея то и вспомни древнюю прогу - adinf
     
  17. onSide

    onSide New Member

    Публикаций:
    0
    Регистрация:
    18 июн 2008
    Сообщения:
    476
    да легче уже из дровера запрещать запись в авторановые ключи + изменение системных файлов. 90% малвари отпадет сразу же.
     
  18. o14189

    o14189 New Member

    Публикаций:
    0
    Регистрация:
    19 июл 2009
    Сообщения:
    320
    Никакие базы не нужны, все системные файлы (которые имеют отношение к ОС) подписаны, подпись проверяется в 5 строк за счет CryptoAPI, если нет подписи или подпись неверна - заменить на копию