kos1nus Опубликовано 14 ноября, 2008 Поделиться Опубликовано 14 ноября, 2008 (изменено) значит ситуация какая . . . я начинающий программист(я нахожусь в самом начале пути). вообщем я написал антиавторан. программа предельно проста, ищет файлик autorun.inf и от туда выдирает путь к "паганцу". и все вроде бы красиво, но он сам вирус не удаляется. по крайней мере простыми средствами. может вы что то подскажете мне на эту тему. или хотяб скажете в каком направлении мне копать. заранее спасибо ЗЫ я не прошу чтоб вы мне помогали программировать. мне нужно больше информации о вирусе Изменено 14 ноября, 2008 пользователем kos1nus Ссылка на комментарий Поделиться на другие сайты Поделиться
Kapral Опубликовано 14 ноября, 2008 Поделиться Опубликовано 14 ноября, 2008 А любой другой файлик убивает? Если да - то скорее всего вирус сидит в памяти Удалить файл загруженной программы - можно, но не просто Ссылка на комментарий Поделиться на другие сайты Поделиться
den Опубликовано 14 ноября, 2008 Поделиться Опубликовано 14 ноября, 2008 Вы разрабатываете anti-autorun? а печему Вы считаете, что он обязательно должен быть заражён? Насчёт обезвреживания вируса...это уже спец технологии надо разрабатывать...и обновлять их. Ссылка на комментарий Поделиться на другие сайты Поделиться
C. Tantin Опубликовано 14 ноября, 2008 Поделиться Опубликовано 14 ноября, 2008 (изменено) значит ситуация какая . . . я начинающий программист(я нахожусь в самом начале пути). вообщем я написал антиавторан. программа предельно проста, ищет файлик autorun.inf и от туда выдирает путь к "паганцу".А если вдруг вирус туда напихает комментариев с путями ко всем файлам на флешке? А если это не вирус в питу авторана, а "честная" программа? Не показывайте никому такое творение, пока на 100% не будете уверены, что оно удаляет только вирус. и все вроде бы красиво, но он сам вирус не удаляется.Не удаляется - значит или он уже в памяти, или ошибка в программе. В первом случае процесс нужно вырубать (мсдн, вин32.хлп, форумы по программингу, и - разбираться, от банального winexec('taskkil /pid:') до продвинутых методов принудительной выгрузки зловреда через права отладки и удаление после ребута), во втором - исправить ошибки. мне нужно больше информации о вирусеО каком? их много... А способы борьбы - выше. Способы детекта - лучше по сигнатурам, но можно и autorun.inf парсить, но опять тут много "подводных камней". Размышления на тему. У меня когда-то был позыв наваять что-то подобное, но проанализировав уровень задачи - отказался от затеи. Ибо главная проблема отличить малварь от безобидного софта. Сам факт авторана ни о чём ещё не говорит. Эмулятор - сложно. Таблица импорта - тоже мало что скажет. "Для себя" (и вообще даже для любого мало-мальски продвинутого юзверя) такая прога не нужна - отключить авторан в винде и прибивать зловреда из любого ФМ. Для непродвинутого пользователя - есть антивирь. А соревноваться базой сигнатур даже с бесплатными антивирями - времени столько нет. Так что поиграться можно, но практической пользы имхо ноль. Разве что попрактиковаться в кодинге... но тут лучше взяться за что-то полезное... Перечитал пост denа, и захотелось добавить: уважающийсебя зловред скопирует себя на винт и запустится оттуда, т.е. обезвреживать его нужно до процедуры автозапуска... плюс даже имея бинарник с флешки, не так-то просто его обнаружить на винте... в общем, много тут сложностей. Изменено 14 ноября, 2008 пользователем C. Tantin Ссылка на комментарий Поделиться на другие сайты Поделиться
kos1nus Опубликовано 14 ноября, 2008 Автор Поделиться Опубликовано 14 ноября, 2008 (изменено) программа тестировалась на предварительно созданном autorun.inf с предварительным прописыванием в нем всех возможных способов запуска, с комментариями и прочим( даже с тем чего автораны врятли будут прописывать). да дело и не в комментариях. конкретно находятся служебные слова (open, command и т.д) и дальше выискивается по прописанному пути сам вирус. так что ошибиться и удалить что то не то очень сложно. все прописанные файлы удалялись, так что в этом плане все верно. а вот на счет невозможности удалить из за уже запущенного вируса - интересная мысль. программа тестировалась на уже завирусованной машине. может зараза которая сидит уже на компе и мешает удалить вирус с флешки . . . . нада думать ЗЫ а много вы видели честных программ авторанов для флешки? я, честно, признаюсь хоть и видел, но никогда не пользовался и не видел чтоб др. пользовались. потому что это никому ни надо Изменено 14 ноября, 2008 пользователем kos1nus Ссылка на комментарий Поделиться на другие сайты Поделиться
C. Tantin Опубликовано 14 ноября, 2008 Поделиться Опубликовано 14 ноября, 2008 (изменено) да дело и не в комментариях. конкретно находятся служебные слова (open, command и т.д)А проверка на символ комментария есть? Ещё какие проверки есть? единичность служебного слова? расположение? и дальше выискивается по прописанному пути сам вирус. так что ошибиться и удалить что то не то очень сложно.а если это не вирус? То, что прописано в авторане? Как программа отличит вирус от, скажем, спецпроги шифрования данных на флешке? А есть и такие, которые часть ключа пихают в ресурс ехешника (а часть получают из хеша пароля)? Удали такое - и шифрованным данным крышка. Или там инсталлятор будет, который не восстановить? Тогда как? только сигнатурный или поведенческий детект! Парсер авторана - необходимая, но не достаточная для вердикта операция! а вот на счет невозможности удалить из за уже запущенного вируса - интересная мысль. программа тестировалась на уже завирусованной машине. может зараза которая сидит уже на компе и мешает удалить вирус с флешки . . . . нада думатьНе-не-не. Речь шла о том, что винда не даёт удалить файл запущенного приложения. [добавлено в связи с редактированием 5 поста] ЗЫ а много вы видели честных программ авторанов для флешки? я, честно, признаюсь хоть и видел, но никогда не пользовался и не видел чтоб др. пользовались. потому что это никому ни надоВидел. Не много, но видел. И нет ничего хорошего в том, чтоб удалять с флешки всё без разбора! А то так появятся зловреды, которые будут просто создавать автораны и пихать в них пути к нужным файлам, а парсер будет их методично удалять... Изменено 14 ноября, 2008 пользователем C. Tantin Ссылка на комментарий Поделиться на другие сайты Поделиться
kos1nus Опубликовано 14 ноября, 2008 Автор Поделиться Опубликовано 14 ноября, 2008 (изменено) 1-А проверка на символ комментария есть? Ещё какие проверки есть? единичность служебного слова? расположение? 2-а если это не вирус? То, что прописано в авторане? Как программа отличит вирус от, скажем, спецпроги шифрования данных на флешке? А есть и такие, которые часть ключа пихают в ресурс ехешника (а часть получают из хеша пароля)? Удали такое - и шифрованным данным крышка. Или там инсталлятор будет, который не восстановить? Тогда как? только сигнатурный или поведенческий детект! Парсер авторана - необходимая, но не достаточная для вердикта операция! 3-Не-не-не. Речь шла о том, что винда не даёт удалить файл запущенного приложения. 4-[добавлено в связи с редактированием 5 поста] Видел. Не много, но видел. И нет ничего хорошего в том, чтоб удалять с флешки всё без разбора! А то так появятся зловреды, которые будут просто создавать автораны и пихать в них пути к нужным файлам, а парсер будет их методично удалять... 1-да, символ комментария игнорируется. извини, вторую часть вопроса не понял. 2- хм, а что все шифровальные проги пишутся по адресу (пример) "RECYRCL\315gvh3256fgj234562c634g6\" ? да и в конце концов можно сделать "ручную" чистку(программа выдаст запрос на удаление). поймите, мне сейчас подобная критика не нужна. все будет делать по порядку. я просто поставил себе задачу сделать так-то так-то. задачи сделать и выкинуть в сеть с криками "антиавторан пользуйтесь на здоровье" у меня пока нету. 3-ну его должен же кто то запустить. правильно? я открывал не запуская, значит что то другое запустило, возможно тоже что и заразило флешку. вот поэтому мне и нужно больше информации. 4-даже если он не будет удалять сами вирусы, он удалит файлы вирусов => на другой машине вирус не запустится. уже пол дела сделано. распространение остановится на твоей флешке Изменено 14 ноября, 2008 пользователем kos1nus Ссылка на комментарий Поделиться на другие сайты Поделиться
C. Tantin Опубликовано 14 ноября, 2008 Поделиться Опубликовано 14 ноября, 2008 (изменено) 1-да, символ комментария игнорируется.Игнорируется строка с символом комментария ДО служебного слова? если так, то пойдёт. извини, вторую часть вопроса не понял.Это что будет делать программа, если служебных слов будет два. 2- хм, а что все шифровальные проги пишутся по адресу (пример) "RECYRCL\315gvh3256fgj234562c634g6\" ?А что, все вирусы находятся не в корне флешки? Путь - не критерий. Кроме "явных" случаев ("Recycled\", "Recycler\", "$Recycle.bin\"). да и в конце концов можно сделать "ручную" чистку(программа выдаст запрос на удаление).Для "ручных" операций есть файловые менеджеры. поймите, мне сейчас подобная критика не нужна.Здравая критика полезна всегда. 3-ну его должен же кто то запустить. правильно? я открывал не запуская, значит что то другое запустило, возможно тоже что и заразило флешку. вот поэтому мне и нужно больше информации.о_О А что за информация нужна? Если это известный зловред и КАВ его детектит - можно почитать на вирусинфо, неизвестный - отправить на ньювирус. Если есть вопросы - задавайте. 4-даже если он не будет удалять сами вирусы, он удалит файлы вирусов => на другой машине вирус не запустится. уже пол дела сделано. распространение остановится на твоей флешкеНет, нет, и нет. Подавляющее большинство авторан-зловредов запускаясь, копируют себя на диск, и мониторят флешки, если вируса нет - записывают. Вы удалите своей программой - а он опять запишется. Повторяю, задача очень сложная. А если решать её частично - результат решения будет малополезен, а иногда и вреден. Но если есть конкретные вопросы - задавайте. Изменено 14 ноября, 2008 пользователем C. Tantin Ссылка на комментарий Поделиться на другие сайты Поделиться
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти