Как-то раз я задумался над работой антивируса, и немного погуглив, нашёл информацию про алгоритмы работающие на основе контрольной суммы вируса. Быстренько реализовав такой алгоритм, понял что этот путь тупиковый, т.к. вирус может самостоятельно или с помощью зло-программера модифицироваться. Больше статей я на эту тему не нашёл и на время оставил эту затею... Сегодня же я случайно попал на официальный сайт всеми известной программы AVZ и прочел историю создания, откуда узнал что прога была сделана одиночкой и причём весьма успешно как вы знаете Кой-то черт мне "всунул шило в задницу" и теперь я не смогу успокоится, пока не напишу свой рабочий антивирусник с возможностью добавления антивирусных баз. А теперь вопрос. Кто знает, как проанализировать код вируса для добавления его "отличительных знаков" в программу. За что я должен цепляться в его дебагнутом ассемблерском коде ...?
Меня сейчас не волнуют такие моменты, как внедрение антивируса в систему. Я спросил про анализ кода, как он производится. Не владеешь этой информацией - не умничай.
Вот это фраза была по настоящему умной! Нынче анализ кода не в моде, анализ кода сводится к тупому сравнению а тупое сравнение всегда останется тупым сравнением. Если хочешь написать кое что, чем кто то заинтересуется - изучай методы и трюки работы вирусов такие вопросы как: как они живут? с кем общаются? как род продолжают? и тп. Т.е акцент делай не на морду а на походку! И как сказал великий хацкер - будет тебе щастье!
Для разработки антивируса, тебе следует изучить: 1. Почитать литературу системе команд (ассемблер) 2. Почитать доки, о форматах исполняемых файлов, в частности PE заголовки (секции, импорты, экспорты, OEP и т.д.) 3. как действует вирус? (скачать исходник старого вируса на ассемблере) После того как овладеешь более менее всей этой информацией, следует сконцентрировать внимание на сигнатурах, распаковкой исполняемых файлов, раскруткой полиморфного кода, эвристический анализ, проактивная защита, и т.д. И это только начало пути..., удачи
+5 flacs а ссылочка которую я давал как раз на вирусную тематику например статья там есть О ДЕТЕКТИРОВАНИИ СЛОЖНЫХ ВИРУСОВ так что товарищ "хакер" Leng следите за языком
Народ вы че? о_О Половина написанного бред... Самый простой способ это сигнатурный. Ищешь кусок байт который специфичен для этого вируса и добавляешь его в базу. (подробней в интернете) Ну а чтоб добавить "Ума" (эвристики) можно следить за поведением файлов (за созданием авторанов и т.д.)
Так же как вариант. Выполнять код в песочнице фиксируя все действия исполняемого файла и уже потом те или иные действия как то классифицируя.
Спасибо, сайт и правда полезный) X@ios, st0nX и, как запустить вирус в "песочнице" и контролировать его действия?
