Значит интересует такая разработка : мини АВ который грузится вместе с ботом и вычищает другие спайвары с тачки , либо блокирует их . Есть ли возможность такое осуществить ? Насколько это реально ? И сколько будет весить ехе мини АВ в итоге ?
wakeX Восстанавливаете кодосекции всех модулей с диска. Все трояны отвалятся, так в природе я есчо не видел трояна/руткита не юзающего патчи. зы: сюда и сст и IDT относятся и прочий паблик функционал. В принципе можно уложиться в 10KB.
Clerk а также другие кто шарит опишите пожалуйста подробный алгоритм ( на подобии ТЗ) как можно реализовать это , возможно своими силами справимся . Заранее спасибо .
wakeX o Удаление нотификаторов в ядре. Это нотифи на загрузку образов и тп. o Удаление ObjectType' калбэков и тп. o Восстановление SST с диска(базу, ссылки и тп.). В идеале конечно лучше запретить каким либо способом использование текущих таблиц, без восстановления их, так как весьма часто там восстанавливаются дескрипторы. Пусть в холостых таблицах это делают, а система использует оригинальные. o Восстановление IDT и GDT на всех процессорах. Возможно даже перемещение таблиц. Последнюю трогать весьма опасно. o Восстановление с диска кодосекций системных модулей, также и в U-mode. o Поиск паразитных потоков в реалтайме и их заморозка. Опасно, так как может приводить к деадлокам. o Защита образов от записи в U-mode. Запретить запись в кодосекции модулей. Запретить системный хотпатч. o Поиск перехватчиков в реалтайме. Это попытки изменения защищённых страниц и поиск скрытых перехватчиков с помощью бактрейса. Изоляция перехватчиков(останов потоков и пр.). o Запрет на аллокацию памяти в нуле.
А вот что мне сказал мой знакомый кодер : мини ав делается проще , берется опенсорсный ClamAv , из него выдирается движек сигнатурный , и вобщемто, все) . Что вы думаете по этому поводу ?
wakeX Думал вам это нужно, а не сигнатурный сканер. Чем мешает боту какойнибудь инфектор.. мешают другие коды такогоже уровня близкие по функционалу.
