| Вопрос: Антивирус | Добавлено: 16.09.08 18:19 |
Автор вопроса:  VβÐUηìt | Web-сайт: смекаешь.рф
|
|
Видел топег:
http://www.vbnet.ru/forum/show.aspx?id=174398 Амбициозно :). Хм. Я тут подумал, были же такие задачки на олимпиадах по инфе, что нужно было найти повторяющуюся подстрку среди кучи строк. Можно же сделать какой-никакой, но хотя бы кусок антивируса. Тобишь програ ловит изменения всех экзешников на всех жестоках. При изменениях в изменных файлах она ищет одинаковые последовательности байт. Если этих одинаковых кусков набирается штучек, например, семь, то она докапывается до юзера, мол, вирус. Плюс ко всему можно отлавливать подозрительное тупое последовательное сканирование каталогов с изменением экзешников. Фишка вышеописанной фегни в том, что ей не нужна антивирусная база, зато спалить большое число вирусов она может. Оцените от 0 до 10 (0 - полный ламерский бред, 10 - хорошая идея) :) |
| Ответы | Всего ответов: 33 |
|
Номер ответа: 1 Автор ответа:  VβÐUηìt Вопросов: 246 Ответов: 3333 |
Web-сайт: Профиль | | #1 | Добавлено: 16.09.08 18:20 |
| Помойму бред... | ||
|
Номер ответа: 2 Автор ответа:  Администратор ICQ: 278109632 Вопросов: 42 Ответов: 3949 |
Web-сайт: Профиль | | #2 | Добавлено: 16.09.08 18:30 |
2 
Логичнее уж тогда написать прогу, которая будет хукать все процессы и смотреть открываемые файлы. Тем более, что написать подобное довольно просто. А вот просканить все диски на наличие изменений в экзешниках... Вот у меня два винчестера по 700 Гб, сканировать я их буду... ну, в общем, долго. За это время вирус, который написан на асме и работает очень быстро, уже заразит половину, а то и больше. Да и ты подумай, каких размеров будет база данных? Хеши тут хранить не получится, надо хранить пожатое содержимое. Пусть даже без заголовков, только секции - сэкономим сотню байт. Щас искал файлы по маске *.exe - на цифре 9332 не выдержал и закрыл. Было бы раза в два больше как минимум. Вот и считай
|
||
|
Номер ответа: 3 Автор ответа: VβÐUηìtВопросов: 246 Ответов: 3333 |
Web-сайт: Профиль | | #3 | Добавлено: 17.09.08 10:42 |
| Зафиг их всех искать? Перехватывать же можно изменения - в VS2008 есть контрол, FileSystemMonitor называется, кажется. У него вызывается эвент при любом изменении на указанном диске. | ||
|
Номер ответа: 4 Автор ответа: VβÐUηìtВопросов: 246 Ответов: 3333 |
Web-сайт: Профиль | | #4 | Добавлено: 17.09.08 11:18 |
| На хотя все равно получается тупо. | ||
|
Номер ответа: 5 Автор ответа: Администратор ICQ: 278109632 Вопросов: 42 Ответов: 3949 |
Web-сайт: Профиль | | #5 | Добавлено: 17.09.08 11:30 |
|
VβÐ пишет:
в VS2008 есть контрол На .NET нельзя писать системные приложения, запомни это крепко-накрепко Это глупо как минимум, так как фрэймвок стоит далеко не у всех. Пишем на асме + vb6 в качестве фейса
|
||
|
Номер ответа: 6 Автор ответа: VβÐUηìtВопросов: 246 Ответов: 3333 |
Web-сайт: Профиль | | #6 | Добавлено: 17.09.08 14:29 |
Бо 
|
||
|
Номер ответа: 7 Автор ответа: D o c a l  ICQ: 408802757 Вопросов: 76 Ответов: 985 |
Web-сайт: Профиль | | #7 | Добавлено: 17.09.08 20:11 |
| 4 за идею | ||
|
Номер ответа: 8 Автор ответа: HACKERРазработчик Offline Client Вопросов: 236 Ответов: 8362 |
Профиль | | #8 | Добавлено: 21.09.08 01:44 |
|
хз, помойму на .net дрова пишутся спокойно..
Ну подумаешь фреймворк нужен, всеравно он стоит у многих уже, а в будущем - у всех поголовно
Насчет антивируса, имхо интереснее мониторить сами места откуда вирусы могут стартовать. В системе их не так уж и много, и как правило все вирусы довольно криво шифруются.. Вообщем легко палятся по своебразным названиям итп.. Это и мониторить. Или типа белый лист прог создать, тоже на самом деле у типичного юзера довольно известные проги в автозагрузке стоит, а если что-то экзотическое есть - можно это с аплоадить какому-то онлайн антивирю на проверку. Вообщем если антивирус на вб, то что-то вроде такого креатива уже писать.. ну и в принципе не помешает хук на createprocess на том же pb В итоге получится что-то более мение, что хоть как-то будет ловить заразу..
Но вообще всё это бред, из серии написания своей ОС
|
||
|
Номер ответа: 9 Автор ответа: WinandВопросов: 87 Ответов: 2795 |
Web-сайт: Профиль | | #9 | Добавлено: 21.09.08 13:56 |
| Это почему же написание своей ос - бред? ради неиспользования .NET можно на всё пойти) | ||
|
Номер ответа: 10 Автор ответа: HACKERРазработчик Offline Client Вопросов: 236 Ответов: 8362 |
Профиль | | #10 | Добавлено: 22.09.08 01:15 |
|
Проще присоединиться к красноглазым линуксоидам
Offtop: UU не бань, я не про тебя
)) |
||
|
Номер ответа: 11 Автор ответа: Администратор ICQ: 278109632 Вопросов: 42 Ответов: 3949 |
Web-сайт: Профиль | | #11 | Добавлено: 22.09.08 01:30 |
|
Offtop: Значит про меня? Ща забаним
|
||
|
Номер ответа: 12 Автор ответа: VβÐUηìtВопросов: 246 Ответов: 3333 |
Web-сайт: Профиль | | #12 | Добавлено: 23.09.08 14:23 |
|
Но вообще всё это бред, из серии написания своей ОС
Согласен, однако можно его поставлять как дополнение к главному антивирусу. А? |
||
|
Номер ответа: 13 Автор ответа: ArtyomРазработчик Вопросов: 130 Ответов: 6602 |
Профиль | | #13 | Добавлено: 23.09.08 17:33 |
|
Кстати кто-нибудь видел Singularity? Прикольная штука, говорят через 1-2 версии винды начнут использовать эти наработки.
Щас искал файлы по маске *.exe - на цифре 9332 не выдержал и закрыл. Было бы раза в два больше как минимум. Вот и считай
Собственная коллекция вирусов? о_О |
||
|
Номер ответа: 14 Автор ответа: ФенягzICQ: 387437448 Вопросов: 7 Ответов: 202 |
Web-сайт: Профиль | | #14 | Добавлено: 23.09.08 18:56 |
| Думаю, он просто искал файлы *.exe . | ||
|
Номер ответа: 15 Автор ответа: VβÐUηìtВопросов: 246 Ответов: 3333 |
Web-сайт: Профиль | | #15 | Добавлено: 27.09.08 13:50 |
|
Думаю, он просто искал файлы *.exe .
А как ты догадался?!
о_О
О! Смайлик, который не обрабатывается движком!
|
||