Доброго времени суток. Подскажите где можно поискать на эту тему статей/веток. Нормально если на английском. Функционал - распознание сигнатур, лечение, может быть карантин. Заранее спасибо.

| Сообщение посчитали полезным:

О, еще один говнописатель. Просто интерфейс продавать тупым америкосам уже не катит? заставляют функционал добавить Как бы ты не старался все равно твоя прога в АВ базу попадет недели через 3 после выхода.

| Сообщение посчитали полезным:

похоже, конкуренция

| Сообщение посчитали полезным:

seeq пишет:
Просто интерфейс продавать тупым америкосам уже не катит?

где-то запретили законодательно продавать пустышки - на секлабе заметка была

| Сообщение посчитали полезным:

av-school.ru/article/a-45.html
pupkin-vasek.narod.ru/mtav.htm
@Программа следит за загрузкой процессора, и если процессор не нагружен, создает еще одну нить проверки, в противном случае – удаляет нить, которая уже проверила свой файл. Также была попытка внедрить использование нейросетей. Я внедрил, но толку никакого.@

-----
M&#225 enginn renna undan &#254v&#237 sem honum er skapa&#240

| Сообщение посчитали полезным:

seeq
Милейший, я вас оскорблял ? Вот и вы язык попридержите. Вы в курсе для каких целей мне эта информация ? Сомневаюсь. Нечего по теме добавить - шат зе фак ап.
di-2
Спасибо, уже смотрел, неплохо бы по лечению именно что-нибудь.

| Сообщение посчитали полезным:

Может это подойдет?
Олег Зайцев - известный эксперт в области антивирусных технологий включен в состав сотрудников отдела антивирусных исследований департамента инновационных технологий «Лаборатория Касперского». Г-н Зайцев известен как разработчик утилиты интеллектуального обнаружения вредоносных программ AVZ («Антивирус Зайцева») и автор книги «Rootkits, SpyWare/AdWare, Keyloggers & BackDoors. Обнаружение и защита».
Rootkits, SpyWare/AdWare, Keyloggers & BackDoors. Обнаружение и защита
В книге рассмотрены технологии и методики, положенные в основу работы распространенных вредоносных программ: руткитов, клавиатурных шпионов, программ SpyWare/AdWare, BackDoor, Trojan-Downloader и др. Для большинства рассмотренных программ и технологий приведены подробные описания алгоритма работы и примеры кода на Delphi и С, демонстрирующие упрощенную реализацию алгоритма.

В частности, в книге подробно рассмотрены:

* Различные методики перехвата API функций в UserMode, в частности
o Перехват функций методом правки IAT и таблицы отложенного импорта с примерами на Delphi и С
o Перехват функций методом правки первых байт машинного кода и первых команд машинного кода с примерами
o Перехват метом внедрения кода при помощи механизма сигнатур и точек останова
* Перехват функций в KernelMode, в частности
o Перехват метод правки адресов в KiST
o Перехват методом правки машинного кода ядра
o Перехват вектора Int 2E и sysenter
* DKOM руткиты – методики маскировки в KernelMode и UserMode без перехвата функций с примерами
* Функции мониторинга в KernelMode – пример реализации слежения за запуском процессов и загрузкой исполняемых файлов
* Клавиатурные шпионы
o Классический кейлоггер на базе ловушек
o Опрос клавиатуры по таймеру
o Драйвер-фильтр клавиатуры с подробным рассмотрением принципа его работы и примером
o Руткит-кейлоггер, работающий в User-Mode
o Руткит-кейлоггер, работающий в Kernel-Mode
o Методики слежения за буфером обмена с примерами
* Принципы работы и примеры Trojan-Downloader и Trojan-Dropper
* Пример слежения за сетевой активностью (на примере RAW Socket)

В книге различные утилиты ( в том числе и утилита AVZ) предназначенные для поиска и нейтрализации вредоносных программ и хакерских «закладок», причем основное внимание уделено бесплатным программам. Рассмотрены типовые ситуации, связанные с поражением компьютера вредоносными программами. Для каждой из ситуаций описан процесс анализа и лечения.
На прилагаемом компакт-диске приведены исходные тексты примером, антивирусная утилита AVZ и некоторые дополнительные материалы.
Книга предназначена для системных администраторов, специалистов по защите информации, студентов вузов и опытных пользователей.
h**p://knigka.ifolder.ru/2071483
h**p://rapidshare.com/files/32365761/rootkits_spyware_adware_keylogger s_backdoors_obnaruzhenie_i_zaschita_cd.rar
Другой вариант книги «ROOTKITS, SPYWARE/ADWARE, KEYLOGGERS & BACKDOORS: обнаружение и защита» в djvu (качество хорошее, текстовый слой, оглавление), размером в 5,46 мб с файлами с компакт-диска:
h**p://rapidshare.com/files/143260195/rootkits_z.rar
h**p://link_deleted_by_forum_engine/files/7767948
Могу.если нужно поискать на винте в формате PDF

-----
M&#225 enginn renna undan &#254v&#237 sem honum er skapa&#240

| Сообщение посчитали полезным:

di-2
ага, отлично, большое спасибо

| Сообщение посчитали полезным:

У меня была идея сделать проактивную защиту + АВ-сканер, последний даже был в разработке и я представляю себе как он устроен, могу дать направление что
стоит учить, что-бы для начала иметь представление, как оно устроено, список:
+ Системное программирование
+ Крэкинг
Раскрывать плюсы не буду так как и так должно быть понятно

-----
Gutta cavat lapidem. Feci, quod potui. Faciant meliora potentes

| Сообщение посчитали полезным:

coderess
ну с программированием худо бедно уж лет десять как проблем не было =) крэкинг да, им сейчас плотнее занялся, некоторое время назад лишь поверхностно изучал

| Сообщение посчитали полезным:

О ужос, не могли они нормально отксерить.. щас монитор переверну, почитаю

| Сообщение посчитали полезным:

Clerk не стоит...книга не стоит того, к сожалению она у меян есть в бумаге, повелся на красивую обложку...вообще ее надо было назвать «ROOTKITS, SPYWARE/ADWARE, KEYLOGGERS & BACKDOORS: руководство по созданию, и как заюзать мою мего-утилиту AVZ, чтобы это поймать» вообщем ничего там стоющего нет...кроме самопиара и копипаста(Хоглунд даже высказывался помоему по этому поводу)

| Сообщение посчитали полезным:

ne0n книгу не читал, но оглавление приличное, если то что на обертке и в книге и грамотно
написано, то я думаю стоит ознакомится, хотябы пролистать книжку

-----
Gutta cavat lapidem. Feci, quod potui. Faciant meliora potentes

| Сообщение посчитали полезным:

Offtopic: Кто пробовал исследовать Norton Antivirus 2009?
* При попытке загрузки его в отладчик - ошибка.
* Удаления из списка процесов выдается ошибка - пробовал снять хук из KeServiceDescriptorTable

-----
Gutta cavat lapidem. Feci, quod potui. Faciant meliora potentes

| Сообщение посчитали полезным:

ne0n
Знаю, я хотел посмотреть "Перехват вектора Int 2E и sysenter", впрочем увидел то, что и ожидал , изначально неверный подход. После подобного перехвата(перезаписью MSR) получится бсодогенератор, стоит только вызвать Sysenter с взведённым TF, я расчитывал увидеть там как автор решил эту проблему.

| Сообщение посчитали полезным:

ubuffon пишет:
Милейший, я вас оскорблял ? Вот и вы язык попридержите. Вы в курсе для каких целей мне эта информация ? Сомневаюсь. Нечего по теме добавить - шат зе фак ап.
ну Вы же не озвучили цели посему и ответ...
Любой программер средней руки в состоянии написать антиспайвару, ибо там нет ничего сложного..Сигнатурный детект - тупой поиск последовательности байт в файле. Подавляющее большинство антиспайвар не юзает сигнатуры, юзает мд5-хеши файлов.
Детект происходит примерно так:
- совпадение мд5-суммы
- совпадение имени файла (да-да)
- совпадение мд5-суммы части файла
- поиск по реестру
Убитые, тупые и никому не нужные софтины....
Карантин - это вообще про что??? Обычное копирование файла с одного места в другое, с удалением.
Лечение?? Спайвары не нуждаются в лечении, они нуждаются в удалении.
Удачных тендеров и продаж =)
Да, и наймите себе нормального кодера

| Сообщение посчитали полезным:

сканить файлы будете через FindFirstFile?)

-----
Shalom ebanats!

| Сообщение посчитали полезным:

Ara
Прямо скажем я не обязан объяснять что-нибудь кому-нибудь. Это форум, я пришел и задал вопрос. Нарвался на неожиданную реакцию, так что "посему и ответ" - безосновательно.
С кодингом я справлюсь, это не проблема, не со вчера пишу. Просто не нашел нормальной информации по написанию простейшего сканера.

| Сообщение посчитали полезным:

Ara пишет:
Детект происходит примерно так:
- совпадение имени файла (да-да)
Это вообще лучше не трогать ) Так действует сканер от microsoft стоит блокнот кинуть в другую папку или переименовать-он уже spyware. Кто вообще такое придумал )

-----
M&#225 enginn renna undan &#254v&#237 sem honum er skapa&#240

| Сообщение посчитали полезным:

di-2 пишет:
Это вообще лучше не трогать ) Так действует сканер от microsoft стоит блокнот кинуть в другую папку или переименовать-он уже spyware. Кто вообще такое придумал )
до 2008 года именно так и детектила всеми любимая Ad-Aware.

ubuffon пишет:
Прямо скажем я не обязан объяснять что-нибудь кому-нибудь. Это форум, я пришел и задал вопрос. Нарвался на неожиданную реакцию, так что "посему и ответ" - безосновательно.
реакция совершенно не безосновательная. Если "пишу не со вчера" - проблем в сабже быть не должно никаких.

| Сообщение посчитали полезным:

ubuffon пишет:
шат зе фак ап.
ого даже так .

ubuffon пишет:
Прямо скажем я не обязан объяснять что-нибудь кому-нибудь
Ты ведь знаешь, что я прав. Тут и объяснять ничего не нужно, из твоего первого поста все становиться очевидно. ты думаешь, ты тут первый с таким вопросом? За последние пару лет просто бум какой-то произошел среди антивирусо/антиспайварь писателей. Все хотят с нечистью бороться

| Сообщение посчитали полезным:

seeq пишет:
Все хотят с нечистью бороться
все хотят с нечистью бороться за бабло (ц) Ара
но не все могут...

| Сообщение посчитали полезным:

seeq
Я знаю что я прав. Объяснять что как выглядит тоже смысла нет, все равно каждый хочет видеть то, что хочет =)
Ara
да у меня нет проблем с программированием этого дела, просто подумал что наверняка так как тематика новая упущу какие-то подводные камни, но получается приблизительно так как и думал. а за помощь и советы конечно спасибо, это всегда полезно

| Сообщение посчитали полезным:

Самого главного совета никто так и не озвучил. Озвучу я - пишите красивый интерфейс, карантин - фтопку

| Сообщение посчитали полезным: