Учусь убивать вирусы

[kos1nus]

значит ситуация какая . . . я начинающий программист(я нахожусь в самом начале пути). вообщем я написал антиавторан. программа предельно проста, ищет файлик autorun.inf и от туда выдирает путь к "паганцу". и все вроде бы красиво, но он сам вирус не удаляется. по крайней мере простыми средствами. может вы что то подскажете мне на эту тему. или хотяб скажете в каком направлении мне копать. заранее спасибо

 

ЗЫ я не прошу чтоб вы мне помогали программировать. мне нужно больше информации о вирусе

Изменено 14 ноября, 2008 пользователем kos1nus

[Kapral]

А любой другой файлик убивает?

Если да - то скорее всего вирус сидит в памяти

 

Удалить файл загруженной программы - можно, но не просто

[den]

Вы разрабатываете anti-autorun? а печему Вы считаете, что он обязательно должен быть заражён? Насчёт обезвреживания вируса...это уже спец технологии надо разрабатывать...и обновлять их.

[C. Tantin]

значит ситуация какая . . . я начинающий программист(я нахожусь в самом начале пути). вообщем я написал антиавторан. программа предельно проста, ищет файлик autorun.inf и от туда выдирает путь к "паганцу".

А если вдруг вирус туда напихает комментариев с путями ко всем файлам на флешке? А если это не вирус в питу авторана, а "честная" программа? Не показывайте никому такое творение, пока на 100% не будете уверены, что оно удаляет только вирус.

 

и все вроде бы красиво, но он сам вирус не удаляется.

Не удаляется - значит или он уже в памяти, или ошибка в программе. В первом случае процесс нужно вырубать (мсдн, вин32.хлп, форумы по программингу, и - разбираться, от банального winexec('taskkil /pid:') до продвинутых методов принудительной выгрузки зловреда через права отладки и удаление после ребута), во втором - исправить ошибки.

 

мне нужно больше информации о вирусе

О каком? их много... А способы борьбы - выше. Способы детекта - лучше по сигнатурам, но можно и autorun.inf парсить, но опять тут много "подводных камней".

 

Размышления на тему.

У меня когда-то был позыв наваять что-то подобное, но проанализировав уровень задачи - отказался от затеи. Ибо главная проблема отличить малварь от безобидного софта. Сам факт авторана ни о чём ещё не говорит. Эмулятор - сложно. Таблица импорта - тоже мало что скажет. "Для себя" (и вообще даже для любого мало-мальски продвинутого юзверя) такая прога не нужна - отключить авторан в винде и прибивать зловреда из любого ФМ. Для непродвинутого пользователя - есть антивирь. А соревноваться базой сигнатур даже с бесплатными антивирями - времени столько нет. Так что поиграться можно, но практической пользы имхо ноль. Разве что попрактиковаться в кодинге... но тут лучше взяться за что-то полезное...

 

Перечитал пост denа, и захотелось добавить: уважающийсебя зловред скопирует себя на винт и запустится оттуда, т.е. обезвреживать его нужно до процедуры автозапуска... плюс даже имея бинарник с флешки, не так-то просто его обнаружить на винте... в общем, много тут сложностей.

Изменено 14 ноября, 2008 пользователем C. Tantin

[kos1nus]

программа тестировалась на предварительно созданном autorun.inf с предварительным прописыванием в нем всех возможных способов запуска, с комментариями и прочим( даже с тем чего автораны врятли будут прописывать). да дело и не в комментариях. конкретно находятся служебные слова (open, command и т.д) и дальше выискивается по прописанному пути сам вирус. так что ошибиться и удалить что то не то очень сложно. все прописанные файлы удалялись, так что в этом плане все верно.

 

а вот на счет невозможности удалить из за уже запущенного вируса - интересная мысль. программа тестировалась на уже завирусованной машине. может зараза которая сидит уже на компе и мешает удалить вирус с флешки . . . . нада думать

 

ЗЫ а много вы видели честных программ авторанов для флешки? я, честно, признаюсь хоть и видел, но никогда не пользовался и не видел чтоб др. пользовались. потому что это никому ни надо

Изменено 14 ноября, 2008 пользователем kos1nus

[C. Tantin]

да дело и не в комментариях. конкретно находятся служебные слова (open, command и т.д)

А проверка на символ комментария есть? Ещё какие проверки есть? единичность служебного слова? расположение?

 

и дальше выискивается по прописанному пути сам вирус. так что ошибиться и удалить что то не то очень сложно.

а если это не вирус? То, что прописано в авторане? Как программа отличит вирус от, скажем, спецпроги шифрования данных на флешке? А есть и такие, которые часть ключа пихают в ресурс ехешника (а часть получают из хеша пароля)? Удали такое - и шифрованным данным крышка. Или там инсталлятор будет, который не восстановить? Тогда как? только сигнатурный или поведенческий детект! Парсер авторана - необходимая, но не достаточная для вердикта операция!

 

а вот на счет невозможности удалить из за уже запущенного вируса - интересная мысль. программа тестировалась на уже завирусованной машине. может зараза которая сидит уже на компе и мешает удалить вирус с флешки . . . . нада думать

Не-не-не. Речь шла о том, что винда не даёт удалить файл запущенного приложения.

 

[добавлено в связи с редактированием 5 поста]

ЗЫ а много вы видели честных программ авторанов для флешки? я, честно, признаюсь хоть и видел, но никогда не пользовался и не видел чтоб др. пользовались. потому что это никому ни надо

Видел. Не много, но видел. И нет ничего хорошего в том, чтоб удалять с флешки всё без разбора! А то так появятся зловреды, которые будут просто создавать автораны и пихать в них пути к нужным файлам, а парсер будет их методично удалять... Изменено 14 ноября, 2008 пользователем C. Tantin

[kos1nus]

1-А проверка на символ комментария есть? Ещё какие проверки есть? единичность служебного слова? расположение?

 

2-а если это не вирус? То, что прописано в авторане? Как программа отличит вирус от, скажем, спецпроги шифрования данных на флешке? А есть и такие, которые часть ключа пихают в ресурс ехешника (а часть получают из хеша пароля)? Удали такое - и шифрованным данным крышка. Или там инсталлятор будет, который не восстановить? Тогда как? только сигнатурный или поведенческий детект! Парсер авторана - необходимая, но не достаточная для вердикта операция!

 

3-Не-не-не. Речь шла о том, что винда не даёт удалить файл запущенного приложения.

 

4-[добавлено в связи с редактированием 5 поста]

Видел. Не много, но видел. И нет ничего хорошего в том, чтоб удалять с флешки всё без разбора! А то так появятся зловреды, которые будут просто создавать автораны и пихать в них пути к нужным файлам, а парсер будет их методично удалять...

 

1-да, символ комментария игнорируется. извини, вторую часть вопроса не понял.

 

2- хм, а что все шифровальные проги пишутся по адресу (пример) "RECYRCL\315gvh3256fgj234562c634g6\" ? да и в конце концов можно сделать "ручную" чистку(программа выдаст запрос на удаление). поймите, мне сейчас подобная критика не нужна. все будет делать по порядку. я просто поставил себе задачу сделать так-то так-то. задачи сделать и выкинуть в сеть с криками "антиавторан пользуйтесь на здоровье" у меня пока нету.

 

3-ну его должен же кто то запустить. правильно? я открывал не запуская, значит что то другое запустило, возможно тоже что и заразило флешку. вот поэтому мне и нужно больше информации.

 

4-даже если он не будет удалять сами вирусы, он удалит файлы вирусов => на другой машине вирус не запустится. уже пол дела сделано. распространение остановится на твоей флешке

Изменено 14 ноября, 2008 пользователем kos1nus

[C. Tantin]

1-да, символ комментария игнорируется.

Игнорируется строка с символом комментария ДО служебного слова? если так, то пойдёт.

 

извини, вторую часть вопроса не понял.

Это что будет делать программа, если служебных слов будет два.

 

2- хм, а что все шифровальные проги пишутся по адресу (пример) "RECYRCL\315gvh3256fgj234562c634g6\" ?

А что, все вирусы находятся не в корне флешки? Путь - не критерий. Кроме "явных" случаев ("Recycled\", "Recycler\", "$Recycle.bin\").

 

да и в конце концов можно сделать "ручную" чистку(программа выдаст запрос на удаление).

Для "ручных" операций есть файловые менеджеры.

 

поймите, мне сейчас подобная критика не нужна.

Здравая критика полезна всегда.

 

3-ну его должен же кто то запустить. правильно? я открывал не запуская, значит что то другое запустило, возможно тоже что и заразило флешку. вот поэтому мне и нужно больше информации.

о_О А что за информация нужна? Если это известный зловред и КАВ его детектит - можно почитать на вирусинфо, неизвестный - отправить на ньювирус. Если есть вопросы - задавайте.

 

4-даже если он не будет удалять сами вирусы, он удалит файлы вирусов => на другой машине вирус не запустится. уже пол дела сделано. распространение остановится на твоей флешке

Нет, нет, и нет. Подавляющее большинство авторан-зловредов запускаясь, копируют себя на диск, и мониторят флешки, если вируса нет - записывают. Вы удалите своей программой - а он опять запишется.

 

Повторяю, задача очень сложная. А если решать её частично - результат решения будет малополезен, а иногда и вреден. Но если есть конкретные вопросы - задавайте.

Изменено 14 ноября, 2008 пользователем C. Tantin