Форум программистов
 

Восстановите пароль или Зарегистрируйтесь на форуме, о проблемах и с заказом рекламы пишите сюда - alarforum@yandex.ru, проверяйте папку спам!

Вернуться   Форум программистов > Программная инженерия > Безопасность, Шифрование
Регистрация

Восстановить пароль
Повторная активизация e-mail

Купить рекламу на форуме - 42 тыс руб за месяц

Ответ
 
Опции темы Поиск в этой теме
Старый 18.09.2013, 17:52   #1
chipside
Форумчанин
 
Регистрация: 03.08.2013
Сообщений: 208
По умолчанию Помогите написать антивирус для конкретного вируса

Есть тело вируса.
Исходников, разумеется, нет.
Как написать антивирус конкретно для него?
Я дезассемблировал гада, но язык ассемблера мне не знаком.
Как можно понять, куда он прячется в памяти и в ФС на компе, чтобы запустить
метлу, которая очистит комп от заразы?

Последний раз редактировалось chipside; 18.09.2013 в 19:42.
chipside вне форума Ответить с цитированием
Старый 19.09.2013, 08:56   #2
Guy
Форумчанин
 
Регистрация: 15.12.2010
Сообщений: 398
По умолчанию

А зачем говорить что дезассемблировали ? )
Вышлете его вашему поставщику АV пусть они сделают за вас всю работу. Или DrWeb-у и ждите когда сигнатура появится в базе CureIt-а
Guy вне форума Ответить с цитированием
Старый 19.09.2013, 09:18   #3
Kix.IV
Участник клуба
 
Регистрация: 11.08.2012
Сообщений: 1,226
По умолчанию

Запустите в песочнице/виртуальной машине вместе с Process Monitor. Дальше сами разберётесь.
Kix.IV вне форума Ответить с цитированием
Старый 19.09.2013, 11:57   #4
Noor
Участник клуба
 
Аватар для Noor
 
Регистрация: 01.11.2006
Сообщений: 1,082
По умолчанию

Поиск по гуглу ну и вот http://rce.su/ishodnyj-kod-antivirusa-na-delphi/
Noor вне форума Ответить с цитированием
Старый 19.09.2013, 16:06   #5
chipside
Форумчанин
 
Регистрация: 03.08.2013
Сообщений: 208
По умолчанию

Цитата:
Сообщение от Guy Посмотреть сообщение
А зачем говорить что дезассемблировали ? )
Вышлете его вашему поставщику АV пусть они сделают за вас всю работу. Или DrWeb-у и ждите когда сигнатура появится в базе CureIt-а
Этак фирма от простоя потеряет всех клиентов.
---
Вирус был на работе. Снёсся триалом от Касперского.
А там полноценных (платных) антивирусов нет. Начальник экономит на всём.
---
Проблема на этот раз решена.
Однако я заметил, что на одну и ту же точку периодически приносят
вирус. Он весит примерно 180 Кб. Раньше приносили авторун.
С ним справилась Авира. Потом стали приносить рециклер.
Сначала его победил Доктор Веб Курейт, теперь Триал Каспера.
Фриварные его не опознали.
Я считаю, что это один и тот же вирус, который модефицирует какой-то
программист-любитель попакостить.
Каждый раз комп и без того полудохлый начинает тупить и заражать флешки клиентов.
А решать эту проблему приходится курьеру (мне).
Дома у меня Линукс. Не знаю, как компиляторы для Делфи будут
работать под вайном....
Хотелось бы как-то на c++.
А так всем спасибо.
Попробую погуглить самостоятельно на эту тему.
chipside вне форума Ответить с цитированием
Старый 19.09.2013, 21:13   #6
Fainder
Участник клуба
 
Регистрация: 15.02.2007
Сообщений: 1,112
По умолчанию

chipside, Не тот раздел
Модератор: перенесите тему в более подходящее место
Fainder вне форума Ответить с цитированием
Старый 19.09.2013, 22:47   #7
Stilet
Белик Виталий :)
Старожил
 
Аватар для Stilet
 
Регистрация: 23.07.2007
Сообщений: 57,792
По умолчанию

Перенес.
Цитата:
Хотелось бы как-то на c++.
Нужно не лезть в бутылку устраняя последствия, а искать причины.
Закрываться брандмауерами, отключать автораны и флешки.
Это делает системный администратор а не программист.
I'm learning to live...
Stilet вне форума Ответить с цитированием
Старый 20.09.2013, 05:38   #8
chipside
Форумчанин
 
Регистрация: 03.08.2013
Сообщений: 208
По умолчанию

Это не авторан, а рециклер (корзинный вирус).
Кроме авторанов и рециклеров есть вирусы, которые запускаются от клика мышки по логическому диску и даже при переходе в консоле.
Если у кого есть хорошие ссылочки на документацию по отключению этой заразы через брандмауэр виндовс xp, я буду презнателен.
Как отключить автораны более-менее хорошо описано в wikipedia в разделе autorun.inf.
chipside вне форума Ответить с цитированием
Старый 20.09.2013, 08:20   #9
Serge_Bliznykov
Старожил
 
Регистрация: 09.01.2008
Сообщений: 26,238
По умолчанию

Цитата:
Кроме авторанов и рециклеров есть вирусы, которые запускаются от клика мышки по логическому диску и даже при переходе в консоле.
не верю.
дайте пруф-линк, пожалуйста.
мне кажется, что это миф из области городских легенд...
Serge_Bliznykov вне форума Ответить с цитированием
Старый 20.09.2013, 09:49   #10
Stilet
Белик Виталий :)
Старожил
 
Аватар для Stilet
 
Регистрация: 23.07.2007
Сообщений: 57,792
По умолчанию

Цитата:
мне кажется, что это миф из области городских легенд...
Мне тоже казалось раньше что вирусы в иконках программ это миф
I'm learning to live...
Stilet вне форума Ответить с цитированием
Ответ


Купить рекламу на форуме - 42 тыс руб за месяц

Опции темы Поиск в этой теме
Поиск в этой теме:

Расширенный поиск


Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
Кнопочка Ignore this exception type работает колько для конкретного проекта? Или сразу для всех? TwiX Общие вопросы Delphi 4 12.06.2010 19:00
Включить ClearType для конкретного приложения MyasNick Win Api 1 05.05.2009 08:26
Помогите избавиться от вируса. Titan123 Свободное общение 3 18.03.2009 17:40
Помогите избавиться от вируса Amen Операционные системы общие вопросы 45 10.03.2009 00:19
Помогите убрать последствия вируса N!ckeL Безопасность, Шифрование 4 28.05.2008 16:55