Перейти к содержанию

Учусь убивать вирусы

kos1nus

Автор kos1nus
в Компьютерная помощь

 Поделиться

Рекомендуемые сообщения

kos1nus

kos1nus

Опубликовано
Опубликовано (изменено)

значит ситуация какая . . . я начинающий программист(я нахожусь в самом начале пути). вообщем я написал антиавторан. программа предельно проста, ищет файлик autorun.inf и от туда выдирает путь к "паганцу". и все вроде бы красиво, но он сам вирус не удаляется. по крайней мере простыми средствами. может вы что то подскажете мне на эту тему. или хотяб скажете в каком направлении мне копать. заранее спасибо

 

ЗЫ я не прошу чтоб вы мне помогали программировать. мне нужно больше информации о вирусе

Изменено пользователем kos1nus
Ссылка на комментарий
Поделиться на другие сайты
Kapral

Kapral

Опубликовано
Опубликовано

А любой другой файлик убивает?

Если да - то скорее всего вирус сидит в памяти

 

Удалить файл загруженной программы - можно, но не просто

Ссылка на комментарий
Поделиться на другие сайты
den

den

Опубликовано
Опубликовано

Вы разрабатываете anti-autorun? а печему Вы считаете, что он обязательно должен быть заражён? Насчёт обезвреживания вируса...это уже спец технологии надо разрабатывать...и обновлять их.

Ссылка на комментарий
Поделиться на другие сайты
C. Tantin

C. Tantin

Опубликовано
Опубликовано (изменено)
значит ситуация какая . . . я начинающий программист(я нахожусь в самом начале пути). вообщем я написал антиавторан. программа предельно проста, ищет файлик autorun.inf и от туда выдирает путь к "паганцу".
А если вдруг вирус туда напихает комментариев с путями ко всем файлам на флешке? А если это не вирус в питу авторана, а "честная" программа? Не показывайте никому такое творение, пока на 100% не будете уверены, что оно удаляет только вирус.

 

и все вроде бы красиво, но он сам вирус не удаляется.
Не удаляется - значит или он уже в памяти, или ошибка в программе. В первом случае процесс нужно вырубать (мсдн, вин32.хлп, форумы по программингу, и - разбираться, от банального winexec('taskkil /pid:') до продвинутых методов принудительной выгрузки зловреда через права отладки и удаление после ребута), во втором - исправить ошибки.

 

мне нужно больше информации о вирусе
О каком? их много... А способы борьбы - выше. Способы детекта - лучше по сигнатурам, но можно и autorun.inf парсить, но опять тут много "подводных камней".

 

Размышления на тему.

У меня когда-то был позыв наваять что-то подобное, но проанализировав уровень задачи - отказался от затеи. Ибо главная проблема отличить малварь от безобидного софта. Сам факт авторана ни о чём ещё не говорит. Эмулятор - сложно. Таблица импорта - тоже мало что скажет. "Для себя" (и вообще даже для любого мало-мальски продвинутого юзверя) такая прога не нужна - отключить авторан в винде и прибивать зловреда из любого ФМ. Для непродвинутого пользователя - есть антивирь. А соревноваться базой сигнатур даже с бесплатными антивирями - времени столько нет. Так что поиграться можно, но практической пользы имхо ноль. Разве что попрактиковаться в кодинге... но тут лучше взяться за что-то полезное...

 

Перечитал пост denа, и захотелось добавить: уважающийсебя зловред скопирует себя на винт и запустится оттуда, т.е. обезвреживать его нужно до процедуры автозапуска... плюс даже имея бинарник с флешки, не так-то просто его обнаружить на винте... в общем, много тут сложностей.

Изменено пользователем C. Tantin
Ссылка на комментарий
Поделиться на другие сайты
kos1nus

kos1nus

Опубликовано
  • Автор
Опубликовано (изменено)

программа тестировалась на предварительно созданном autorun.inf с предварительным прописыванием в нем всех возможных способов запуска, с комментариями и прочим( даже с тем чего автораны врятли будут прописывать). да дело и не в комментариях. конкретно находятся служебные слова (open, command и т.д) и дальше выискивается по прописанному пути сам вирус. так что ошибиться и удалить что то не то очень сложно. все прописанные файлы удалялись, так что в этом плане все верно.

 

а вот на счет невозможности удалить из за уже запущенного вируса - интересная мысль. программа тестировалась на уже завирусованной машине. может зараза которая сидит уже на компе и мешает удалить вирус с флешки . . . . нада думать

 

ЗЫ а много вы видели честных программ авторанов для флешки? я, честно, признаюсь хоть и видел, но никогда не пользовался и не видел чтоб др. пользовались. потому что это никому ни надо

Изменено пользователем kos1nus
Ссылка на комментарий
Поделиться на другие сайты
C. Tantin

C. Tantin

Опубликовано
Опубликовано (изменено)
да дело и не в комментариях. конкретно находятся служебные слова (open, command и т.д)
А проверка на символ комментария есть? Ещё какие проверки есть? единичность служебного слова? расположение?

 

и дальше выискивается по прописанному пути сам вирус. так что ошибиться и удалить что то не то очень сложно.
а если это не вирус? То, что прописано в авторане? Как программа отличит вирус от, скажем, спецпроги шифрования данных на флешке? А есть и такие, которые часть ключа пихают в ресурс ехешника (а часть получают из хеша пароля)? Удали такое - и шифрованным данным крышка. Или там инсталлятор будет, который не восстановить? Тогда как? только сигнатурный или поведенческий детект! Парсер авторана - необходимая, но не достаточная для вердикта операция!

 

а вот на счет невозможности удалить из за уже запущенного вируса - интересная мысль. программа тестировалась на уже завирусованной машине. может зараза которая сидит уже на компе и мешает удалить вирус с флешки . . . . нада думать
Не-не-не. Речь шла о том, что винда не даёт удалить файл запущенного приложения.

 

[добавлено в связи с редактированием 5 поста]

ЗЫ а много вы видели честных программ авторанов для флешки? я, честно, признаюсь хоть и видел, но никогда не пользовался и не видел чтоб др. пользовались. потому что это никому ни надо
Видел. Не много, но видел. И нет ничего хорошего в том, чтоб удалять с флешки всё без разбора! А то так появятся зловреды, которые будут просто создавать автораны и пихать в них пути к нужным файлам, а парсер будет их методично удалять... Изменено пользователем C. Tantin
Ссылка на комментарий
Поделиться на другие сайты
kos1nus

kos1nus

Опубликовано
  • Автор
Опубликовано (изменено)
1-А проверка на символ комментария есть? Ещё какие проверки есть? единичность служебного слова? расположение?

 

2-а если это не вирус? То, что прописано в авторане? Как программа отличит вирус от, скажем, спецпроги шифрования данных на флешке? А есть и такие, которые часть ключа пихают в ресурс ехешника (а часть получают из хеша пароля)? Удали такое - и шифрованным данным крышка. Или там инсталлятор будет, который не восстановить? Тогда как? только сигнатурный или поведенческий детект! Парсер авторана - необходимая, но не достаточная для вердикта операция!

 

3-Не-не-не. Речь шла о том, что винда не даёт удалить файл запущенного приложения.

 

4-[добавлено в связи с редактированием 5 поста]

Видел. Не много, но видел. И нет ничего хорошего в том, чтоб удалять с флешки всё без разбора! А то так появятся зловреды, которые будут просто создавать автораны и пихать в них пути к нужным файлам, а парсер будет их методично удалять...

 

1-да, символ комментария игнорируется. извини, вторую часть вопроса не понял.

 

2- хм, а что все шифровальные проги пишутся по адресу (пример) "RECYRCL\315gvh3256fgj234562c634g6\" ? да и в конце концов можно сделать "ручную" чистку(программа выдаст запрос на удаление). поймите, мне сейчас подобная критика не нужна. все будет делать по порядку. я просто поставил себе задачу сделать так-то так-то. задачи сделать и выкинуть в сеть с криками "антиавторан пользуйтесь на здоровье" у меня пока нету.

 

3-ну его должен же кто то запустить. правильно? я открывал не запуская, значит что то другое запустило, возможно тоже что и заразило флешку. вот поэтому мне и нужно больше информации.

 

4-даже если он не будет удалять сами вирусы, он удалит файлы вирусов => на другой машине вирус не запустится. уже пол дела сделано. распространение остановится на твоей флешке

Изменено пользователем kos1nus
Ссылка на комментарий
Поделиться на другие сайты
C. Tantin

C. Tantin

Опубликовано
Опубликовано (изменено)
1-да, символ комментария игнорируется.
Игнорируется строка с символом комментария ДО служебного слова? если так, то пойдёт.

 

извини, вторую часть вопроса не понял.
Это что будет делать программа, если служебных слов будет два.

 

2- хм, а что все шифровальные проги пишутся по адресу (пример) "RECYRCL\315gvh3256fgj234562c634g6\" ?
А что, все вирусы находятся не в корне флешки? Путь - не критерий. Кроме "явных" случаев ("Recycled\", "Recycler\", "$Recycle.bin\").

 

да и в конце концов можно сделать "ручную" чистку(программа выдаст запрос на удаление).
Для "ручных" операций есть файловые менеджеры.

 

поймите, мне сейчас подобная критика не нужна.
Здравая критика полезна всегда.

 

3-ну его должен же кто то запустить. правильно? я открывал не запуская, значит что то другое запустило, возможно тоже что и заразило флешку. вот поэтому мне и нужно больше информации.
о_О А что за информация нужна? Если это известный зловред и КАВ его детектит - можно почитать на вирусинфо, неизвестный - отправить на ньювирус. Если есть вопросы - задавайте.

 

4-даже если он не будет удалять сами вирусы, он удалит файлы вирусов => на другой машине вирус не запустится. уже пол дела сделано. распространение остановится на твоей флешке
Нет, нет, и нет. Подавляющее большинство авторан-зловредов запускаясь, копируют себя на диск, и мониторят флешки, если вируса нет - записывают. Вы удалите своей программой - а он опять запишется.

 

Повторяю, задача очень сложная. А если решать её частично - результат решения будет малополезен, а иногда и вреден. Но если есть конкретные вопросы - задавайте.

Изменено пользователем C. Tantin
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • farguskz
      вирус
      Автор farguskz
      приветствую, после установки дистрибутива скаченного с официального сайта, получили зашифрованные файлы с письмом, так говорят менеджеры, прочитал ваш пост далее обращаюсь к вам за помощью в этом вопросе, спасибо
      систем защиты на момент возникновения проблемы не было, только удалил для переустановки едпоинт, с перепугу установил малваре прекратил отправку данных и нашёл очень много ошибок
      virus.zip Addition.txt Shortcut.txt FRST.txt
    • Alexoon
      вирус powershell
      Автор Alexoon
      Подхватил какой-то вирус с почты. Постоянно открывается powershell и браузеры, т.е. по 5 раз в секунду
       
      Антивирусы ни один его не видят
      CollectionLog-2025.08.22-16.02.zip
    • monstr878
      Непонятный вирус!
      Автор monstr878
      Помогите пожалуйста попал в такую ситуацию. С начала после запуска пк не открывалось не одно приложение, понель задач и поиск. Антивирус отказывался запускать сканирование запуская
      бессконечную загрузку. Попробовали AVZ не помогло, но встроенный антивирус винды начал работать но также ничего не нашел. Дальше переустановил виндовс, после скачивания всех обновлений,
      При настройки браузеров скачивании приложений проблема возобновилась. Установил касперский он нашел одну папку, но после удаления папки ничего не поменялаось.
      Симптомы: на нажатие кнопки виндовс реакции нет, не открывается поиск, настройки виндовс, при попытки зайти в персонализацию пишет что такого приложения не обнаружено.
      Подскажите пожалуйста что это может быть и как это решить?
    • LexaSLX
      Вирус-шифровальщик, вымогатель
      Автор LexaSLX
      Добрый день! Через RDP на наш сервер проник вирус-шифровальщик,  появился новый том М (Зарезервировано системой) , на нем один файл HELP.txt, с координатами вымогателя. Так же этот файл появился во всех папках. Система грузится, но все файлы (1C, Office, html и др.) зашифрованы. На рабочем столе висит картинка с надписью: "We encrypted adn stolen all of your files. Open HELP.txt and follow the instructions to recover your files." . Нужна помощь в расшифровки.  В приложении результат сканирования FRST, а также оригиналы документов и их зашифрованные версииFRST.txt
      Addition.txt ориг и шифр.zip
      HELP.txt
    • alexansh
      Если вирус был на андроиде UDS:Trojan.AndroidOS.Piom.bngd
      Автор alexansh
      На смартфоне
      Версия Android 9 PPR1.180610.011
      Проверял антивирусом
      Kaspersky Free 
      Версия 11.124.4.14286
      Вирус: UDS:Trojan.AndroidOS.Piom.bngd
      -----------------------------------------------
      Если на смартфоне при открытии приложения "Сбербанк" появилось сообщение, что обнаружен вирус "UDS:Trojan.AndroidOS.Piom.bngd" 
      и при этом давалась возможность удалить этот вирус, что я и сделал (удалил его).
      В тех.поддержке Сбербанка мне сказали, что этот вирус был в прошивке смартфона, и что теперь уже он удалён модулем Касперского.
      Также сказали, что какие могут быть последствия от этого вируса, они не знают.
      Рекомендовали обратиться в Лабораторию Касперского.
      После этого на смартфоне иногда возникали торможения - черный экран во время работы на некоторое время и черный экран при перезагрузке на некоторое время.
      Кнопками можно было вывести смартфон в нормальное состояние. Но в основном смартфон работает нормально.
      **********************************************************************************************************************************
      Хотел узнать, что это за троян, что он делает, какие возможные последствия и как его можно побороть ?
      И лечится ли он антивирусом, если находится в прошивке ? (ведь при входе в приложение Сбербанк вирус был удален из прошивки).
      И как "очистить" прошивку, чтобы быть уверенным, что там всё в порядке ?
      И как избавиться от последствий этого трояна ?

×
×
  • Создать...