VBNet - Форум - У кого есть свободное время? Помогите...

Вопрос: У кого есть свободное время? Помогите... Добавлено: 10.06.04 17:16

Автор вопроса: HACKER

Я тут большую прогу для инета пишу, и надо что-то типа "Тест безопасности компьютера", мол приложения такое, которое ловило бы некоторые троянчики и всякие подозрительные проги, кому скучно жить покодите пожалуйста это, если что стучитесь комне я тоже буду помогать вам в написании ваших программ, как в благодарство за это. Программа простая, я и сам могу написать, но у меня щас нет времени, и я ещё другое приложение щас програмлю, тоже для этого большого приложения для инета, так что если бы кто-то мне помог, я был бы очень признательным.

Тех задание к программе:
Программа элементанрна как лопата, форма, кнопка, по нужде можешь настройки разместить, типо выбор чо проверяем (Пункты автозагрузки, реестр, файлы... итп..) тип директорию где проверяем, и кнока проверять! Придержуйся чёрного интерфейса, жилательно сразу с XP кнопками, форма чёрная, кнопки Xp, текст поля, листы итп... тоже фон чёрный, цвет букв ярко зелёный. Программа делает:

1 Из реестра по пунктам автозагрузки берёт всё что там есть, сравнюет с какой-то базой данных, та база данных содержит те данные которые НЕнадо считать за подозрительные, ну типа игнор листа. Потом всё что непрофильтровалось - подозрительное, и спрашуем тупого юзера, ккие программы вам незнакомы из этого списка, то что ему незнакому он отмечает галками, жмёт кнопку прога то что отмечено удаляет.

2 Сканирование файлов. Есть список проверяемых в системе файлов, в этом списке указано путь и имя файла И РАЗМЕР файла, в системе которые ставятся с виндой, прога проверяет эти файлы и сравнюет размер файла тот что в системе и тот что а базе данных, если они отличаются - файл подозрительный, скорее всего склеянный с плохой прогой :), опять же переж удалением спрашуем юзера.

3 Проги держущие порты открытые. Получаем списсок прог котрые держат откр порты (исходник у меня есть), опять проверяем по игнор листу, то что несфильтровалось спрашуем у юзера, если что убиваем процесс проги и удаляем его файл.

Ответить

Ответы Всего ответов: 9

Номер ответа: 1 Автор ответа: Pashenko ICQ: 176176951 Вопросов: 14 Ответов: 655	Профиль \| \| #1	Добавлено: 10.06.04 17:35
	Первыми двумя пунктами могу заняться. По второму пункту: размер файла - не главное, надо проверять ещё даты создания и изменения, контрольную сумму. И, что самое интересное, ВСЁ это можно подделать, т. е. для стопроцентной уверенности в том, что файл не изменился, надо сравнивать с оригиналом побайтно. Ответить

Номер ответа: 2 Автор ответа: HACKER Разработчик Offline Client Вопросов: 236 Ответов: 8362	Профиль \| \| #2	Добавлено: 10.06.04 17:50
	Было бы неплохо, даже очень хорошо. А по 3-ему пункту, есть исходник который показует процесс, loacal ip и remoute ip, remoute ip не такой как у текущего компа то уже есть подозрения, фильтруем потом это подозрения на всякие svhost? итп.. если не профильтровался данный процесс, то спрашуем у юзера, если он безпонятия что-то, убиваем его и удаляем оттуда где он загружается и удаляем exe. Ну если что 3-им я сам займусь, как звонилку и браузер допишу, сделай пожалуйста то что можешь Ответить

Номер ответа: 3 Автор ответа: DaSharm ICQ: 780477 Вопросов: 72 Ответов: 1297	Web-сайт: dasharm.com Профиль \| \| #3	Добавлено: 10.06.04 22:52
	ввв Ответить

Номер ответа: 4 Автор ответа: Sharp Лидер форума ICQ: 216865379 Вопросов: 106 Ответов: 9979	Web-сайт: sharpc.livejournal.com Профиль \| \| #4	Добавлено: 11.06.04 01:35
	2Pachenko: как ты собрался подделывать контрольную сумму? (под контрольной суммой подразумеваю MD5, хотя и CRC32 тоже непросто подогнать) Ответить

Номер ответа: 5 Автор ответа: Chill ICQ: 554200 Вопросов: 101 Ответов: 343	Профиль \| \| #5	Добавлено: 11.06.04 02:44
	>CRC32 тоже непросто подогнать Читал книгу "Искусство защиты и взлом информации" Д.Склярова? Так вот, crc32 подгоняется под любой размер измерением всего 4 байт в файле, не знаю каких, но в книге написано, что это сделать проще всего... я просто ее не дочитал, да и к тому же в книге только теория за прямые указания его бы еще раз посадили )) Ответить

Номер ответа: 6 Автор ответа: Sharp Лидер форума ICQ: 216865379 Вопросов: 106 Ответов: 9979	Web-сайт: sharpc.livejournal.com Профиль \| \| #6	Добавлено: 11.06.04 06:04
	Я уже не помню, где читал про подделку CRC32, но да, способ такой. А вот MD5 (кстати, процесс установки любой программы под никс начинается с проверки его хэша и сравнением с тем, что выложен в Инете, например # md5_sum pptp.tar.gz 23456789123456781234567812345678) почти нереально. Ответить

Номер ответа: 7 Автор ответа: Sharp Лидер форума ICQ: 216865379 Вопросов: 106 Ответов: 9979	Web-сайт: sharpc.livejournal.com Профиль \| \| #7	Добавлено: 11.06.04 06:04
	Да, кстати, изменением любых 4 байтов. Обычно последних. Ответить

Номер ответа: 8 Автор ответа: HACKER Разработчик Offline Client Вопросов: 236 Ответов: 8362	Профиль \| \| #8	Добавлено: 15.06.04 17:14
	2 Pashenko Я слегка отвлёкся, как тау у тебя, есть ли прогресс? или ты вообше не брался? Ответить

Номер ответа: 9 Автор ответа: HACKER Разработчик Offline Client Вопросов: 236 Ответов: 8362	Профиль \| \| #9	Добавлено: 18.06.04 16:32
	2 Pashenko ты хоть живой? Ответить

Страница: 1 |