Наброски игрушечного АВ

Тема в разделе "WASM.PROJECTS", создана пользователем _edge, 7 фев 2017.

  1. _edge

    _edge Well-Known Member

    Публикаций:
    1
    Регистрация:
    29 окт 2004
    Сообщения:
    631
    Адрес:
    Russia
    АВ консольный (command line); архивы не проверяем - для этого есть архиваторы.

    форматы файлов - pe32, bat, vbs, досовские com

    цель - получить средство оценки возможной вредоносности неизв. файла, без его запуска (заодно просто узнать, что этот файл делает)

    средства - фасм, си-шка

    в тему буду прилеплять мысли, ссылки, код.
     
  2. Indy_

    Indy_ Well-Known Member

    Публикаций:
    4
    Регистрация:
    29 апр 2011
    Сообщения:
    4.775
    _edge,

    Отпишите когда будет что то рабочее, для тестов. Идей у меня тоже много.
     
  3. sl0n

    sl0n Мамонт дзена **

    Публикаций:
    0
    Регистрация:
    26 сен 2003
    Сообщения:
    684
    А зачем некро ДОС ? и зачем к скриптовым языкам привязываться ? имхо либо бинари либо скрипты, но что там, что там без эмуляции сейчас никуда
     
  4. _edge

    _edge Well-Known Member

    Публикаций:
    1
    Регистрация:
    29 окт 2004
    Сообщения:
    631
    Адрес:
    Russia
    Да, именно эмуляция, по максимуму. И ловить по поведению.

    Про дос COM - на 32х разрядных виндах в них можно дропперы делать.
    А скрипты сейчас используют очень активно, так что одни PE-шки оказывается недостаточно разбирать.
     
  5. sl0n

    sl0n Мамонт дзена **

    Публикаций:
    0
    Регистрация:
    26 сен 2003
    Сообщения:
    684
    да просто стоит сосредоточиться на чем-то одно со старту три разных направления врядли осилишь
     
  6. amdtm

    amdtm Member

    Публикаций:
    0
    Регистрация:
    19 авг 2003
    Сообщения:
    196
    На wasme были статьи с архивом исходников:
    СТАТЬИ ⇒ Вирусология ⇒ Основы разработки антивирусного сканера
    СТАТЬИ ⇒ Вирусология ⇒ Статическое детектирование файлов: Часть 1 - Структура и данные /16.10.2011/
     
    _edge нравится это.
  7. sniper

    sniper Member

    Публикаций:
    0
    Регистрация:
    10 мар 2017
    Сообщения:
    54
    _edge, есть уже рабочая сборка? Интересно пощупать.
     
  8. _edge

    _edge Well-Known Member

    Публикаций:
    1
    Регистрация:
    29 окт 2004
    Сообщения:
    631
    Адрес:
    Russia
    Нет, и в скором времени, разумеется, не будет. Потому что это проект не для 1 человека. Sad, true. Завяз недалеко от начала.
     
  9. sniper

    sniper Member

    Публикаций:
    0
    Регистрация:
    10 мар 2017
    Сообщения:
    54
    Действительно, sad but true
     
  10. _edge

    _edge Well-Known Member

    Публикаций:
    1
    Регистрация:
    29 окт 2004
    Сообщения:
    631
    Адрес:
    Russia
    Но все же отвечу более развернуто.

    Многие авторы-одиночки мощных проектов подтвердят, что одному такое порой даже удобнее делать, чем собирать и контроллировать команду ) Тут вопрос не столько в профессионализме, сколько в собранности, системе, дисциплине. С этим у меня никогда особо не ладилось, а сейчас еще новая информация плодится с такой скоростью, что хоть отключайся нафиг от интернет совсем.

    В 2004 или даже раньше, пользователь васм Andy, помимо статей на Uinc.ru "разработка антивирусного сканера" и прочих, начинает делать свое детище Explision Antivirus. В 2009 он нашел меня, и я даже кое-что написал (индикатор "вертолетик", как в консольном DrWeb), но я сдался/ушел из проекта; проект просуществовал недолго.

    http://web.archive.org/web/20090313051235/http://needful-things.ru:80/mnt-wp/?p=26#more-26

    сохранилась версия 010, во вложении.

    Я другим путем пошел, полной эмуляцией, то есть тупо разбирать каждую команду. Могу выложить и свое, неспешно.
     

    Вложения:

    • xpl_010.zip
      Размер файла:
      56,7 КБ
      Просмотров:
      346
    sniper и Коцит нравится это.