Вскрыть вирусные базы KAV

> Это не дело. Поэтому хотелось бы дёрнуть базу.



Для этого тебе придется дернуть весь движок - базы без него ценности не представляют.

 

DeHunter

не всё так плохо - я для своего антивируса лично смог собрать около двухсот экземляров (из тех вирусов, что отлавливал на клиентских машинах, когда работал админом).

А потом я встроил поддержду баз ClamAV- а ) - там всё просто

 

ты не прав!

 

Читаем, господа: http://business.compulenta.ru/261246/



"Лаборатория Касперского" судится с китайской компанией за кражу

31 марта 2006 года, 15:14

Текст: Марианна Дейнеко



Некоторое время назад специалисты "Лаборатории Касперского" обнаружили факт кражи своих антивирусных баз компанией Jiangmin, которая является крупным китайским разработчиком антивирусного ПО. В "Лаборатории Касперского" готовы привести доказательства того, что программисты Jiangmin незаконно использовали антивирусные базы, скачанные с сайта "Лаборатории". По словам Ольги Кобзаревой, руководителя информационной службы компании, в коде программ компании Jiangmin были найдены имена российских разработчиков.



В интервью "Компьюленте", Ольга Кобзарева рассказала, что они долго вели переговоры с китайском компанией, с целью прийти к коммерческому соглашению. "Нам не удалось этого сделать, - рассказывает Ольга, - и пришлось начать решать вопрос судебными средствами. К сожалению, мы выяснили, что в Китае выиграть иск против китайской компании практически невозможно. Для этого существует слишком много бюрократических препятствий, связанных с особенностями национальной судебной системы в отношении иностранных производителей."



В настоящий момент переговоры приостановлены, и вполне вероятно, что наказание Jiangmin за свои действия не последует. "Лаборатория Касперского" не готова оценить нанесённый ей ущерб, поскольку разбирательство находится в промежуточной стадии, и специалисты компании подсчётами пока не занимались.

 

Интересно, особенно про китайцев), я ковырял базы насчет использования их в своих программах, да и распаковшик из авп должен получится не хилый,
искал инфу по импортам библиотек авп, и действительно, доволбно много встретил инфы об использовании баз, правда на китайском чи японском...

Я даже нашел файл каторый вроде как SDK KAV (насколько я понял кракозябры), но он стоит 40мб, и мне не утошить...

Я гдето читал (кажется в справке) что касперский продает движок, и уже в ряде продуктов зарубежных фирм есть его движок...

Ну и самое и зайдите на
http://www.cracklab.ru/f/index.php?action=vthread&forum=1&topic=5648&page=-1, это мой топик на заданую тему, там есть набросок проги которая юзает
базы и сканит файлы, архивы, вирусы ))

 

Кто-нибудь может пояснить, как расшифровать результат:

Из проги AvcParser:
SubType = 32
Ck1Len = 7
Ck1Off = 0000092B
Ck1Val = 3025
ChckSum1 = D3C36B1E
Coff = -1
Reserved = 02 00 ......

То же самое из AVPX:
flags = 20h = 32
cs1=(092B,07,D3C36B1E)
word = 3025

Насколько понял:
SubType (оно же flags у AVPX) - не понятно
Ck1Off - смещение первой сигнатуры
Ck1Len - кол. байт от смещения
ChckSum1 - CRC этих байт. Какой алгоритм? CRC32?
Ck1Val (оно же word у AVPX) - не понятно
Coff везде -1 - не понятно
Reserved - зарезервировано на будущее

Где находится информация для лечения вирусов?

 

По логике, надо знать, откуда отсчитывать смещение: от начала файла или от конца файла или от EntryPoint или от куда указывает первый jmp/call или от начала секции или от конца секции и т.п. Это может быть или SubType, или flags, или ни то ни другое, а что-то третье.

 

Z0mbie -> Mr. Fukkers

 

shchetinin
Это все ясно и так.
Давайте уже контакт (:

 

Mr. Fukkers псих больница номер 3. А вообще зачем он вам? показать вскрытую базу столетний давности?

 

shchetinin
Не интересен. Журнал, однако, некоторое время очень доставлял.