Baza wirusów

0

W jaki sposób wykonać taką bazę na potrzeby własnego programu?
Założenie byłyby takie:

  1. Musi się znaleźć informacja o sposobie leczenia - co usunąć, zbędnie utworzone klucze rejestru, inne śmieci tworzone przez trojana/wirusa/...
  2. Informacje o wirusie - nazwa, znaki rozpoznawcze
  3. Opis wirusa - zwykły tekst

Przyjmijmy, że jest to skompilowany plik jakiegoś trojana:

{|dP+=[]d[]fdv[]56[]@^$[]!#@$^
!$)# lk[ [p,w### W%$hlq[l
)$((^)!@ "    TAJNE HASLO ^ ADRES IP CELU ^ USER &&$

W jaki sposób umieścić go w takiej bazie wirusów? Wiem, że nie umieszcza się takiej wersji, jak powyżej, ponieważ powodowałoby to fałszywe alarmy.
Myślałem nad taką formą:

{|dP+=[]d[]fdv[]56[]@^$[]!#@$^
!$)# lk[ [p,w### W%$hlq[l
)$((^)!@ "    * ^ * ^ * &&$

Gwiazdka - dowolny znak. Jakaś taka metoda była pokazana w książce, iż dowolnymi znakami zastępowano rozkazy procesowa (assembler). Powyższe dalej powodowałoby alarmy podczas skanowania bazy.

Jak zapisać to w bazie? Jakieś inne pomysły?

0

Sygnatury dobrych AV mają podstać czegoś w rodzaju języka skryptowego, taki ClamAV zaś ma wyrażenia regularne oparte o wartości hex bajtów ważnych fragmentów. Poczytaj sobie dokumentację do tworzenia sygnatur CAV, jak dla Ciebie powinno wystarczyć.

0

Poczytałem i już wiem, jakie są metody rozpoznawania, ale...
Skąd ClamAV wie, jak wirusa, trojana usunąć w całości, a nie tylko zidentyfikować? Niektóre tworzą różne klucze w rejestrze. Przecież nie można przyjąć, że klucz pasujący do klucza wirusa pochodzi od niego, a nie od użytkownika.
Nie widziałem nigdzie w bazach sposobu usuwania pozostałości po wirusie. Do swojej bazy dodałbym informacje o tym , ale teraz pojawia się problem. Otóż wystarczy zmienić moją bazę, a program sam zacznie atakować chroniony system.

0

Skąd ClamAV wie, jak wirusa, trojana usunąć w całości, a nie tylko zidentyfikować?

Potrafi znaleźć zainfekowany plik więc go usuwa po prostu. Magii tutaj nie ma. Leczenie plików sobie odpuść.

Otóż wystarczy zmienić moją bazę, a program sam zacznie atakować chroniony system.

Coś podobnego chyba w wątku o sofcie Pana Olszewskiego sugerowano... Jak coś jest w stanie się do bazy dobrać i ją odpowiednio zmodyfikować to obrony przed tym nie ma.

0
... napisał(a)

Skąd ClamAV wie, jak wirusa, trojana usunąć w całości, a nie tylko zidentyfikować?

Potrafi znaleźć zainfekowany plik więc go usuwa po prostu. Magii tutaj nie ma. Leczenie plików sobie odpuść.

Tak, ale trojany lubią pakować się do autostartu. W tym celu dodają np do rejestru odpowiedni klucz. Problem w tym, że trojan zostanie usunięty, a klucz pozostanie.

0

To sprawdzasz czy taki plik jest podlinkowany w autostarcie, takie trudne? :|

Poza tym nawet jak dany klucz zostanie to nic złego się nie stanie, system nie wybuchnie.

1 użytkowników online, w tym zalogowanych: 0, gości: 1