информационная безопасность
без паники и всерьез
 подробно о проектеRambler's Top100
За кого нас держат?Сетевые кракеры и правда о деле ЛевинаВсе любят мед
BugTraq.Ru
Русский BugTraq
 Анализ криптографических сетевых... 
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Линуксовый ботнет, распространяющийся... 
 Конец поддержки Internet Explorer 
 Рекордное число уязвимостей в 2021 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / форум / programming
Имя Пароль
ФОРУМ
все доски
FAQ
IRC
новые сообщения
site updates
guestbook
beginners
sysadmin
programming
operating systems
theory
web building
software
hardware
networking
law
hacking
gadgets
job
dnet
humor
miscellaneous
scrap
регистрация





Легенда:
  новое сообщение
  закрытая нитка
  новое сообщение
  в закрытой нитке
  старое сообщение
  • Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
  • Новичкам также крайне полезно ознакомиться с данным документом.
Ряд мыслей: 24.11.06 17:41  Число просмотров: 2777
Автор: NKritsky <Nickolay A. Kritsky> Статус: Elderman
<"чистая" ссылка>
Ряд мыслей:

1. проверять надо не только .exe если ты плаируешь отлов макровирусов.
2. Вместо перехвата ntCreateFile более кошерно наверное писать драйвер фильтра который встраивается в цепочку IFS драйверов и отлавливает IRP_MJ_CREATE вызовы.
3. http://www.google.com/search?q=opensource+antivirus&hl=en&sourceid=gd&rls=GGLD,GGLD:2006-37,GGLD:en
а) поспрашивать там на форумах
б) взять (обговорив лицензионные вопросы с разработчиками!!!) базу сигнатур и библиотеку работы с ней.
4. посмотреть также на Vx сайты. Там частенько обсуждаются антивирусы. Из тех что я знаю - Земский Фершал очень интересно пишет. Может тебе ещё насоветуюут.

в общем так

> Доброго времени суток!
>
> Получил задачу на курсовой проект разработать антивирусный
> монитор под Windows 2000/XP. Кое-какую информацию удалось
> нарыть в И-нете, кое до чего сам додумался, но чувствую,
> что не хватает совета опытного человека.
> Сам антивирусный монитор планирую реализовать в виде
> драйвера уровня ядра, который перехватывал бы WinAPI’шную
> функцию ntCreateFile (в названии могу ошибаться, но
> теоретически эта функция вызывается при каждой попытке
> открыть/запустить файл), и для открываемых *.ехе-файлов
> осуществлял поиск вирусов по сигнатурам (база на несколько
> вирусов – ведь не на продажу же пишем))). Если найдены
> признаки вируса, то доступ к этому ехе-шнику блокируется.
>
> Теперь собственно вопросы, по которым я хотел бы услышать
> мнение знающих людей:
> 1. По какому еще алгоритму можно попробовать
> реализовать антивирусный монитор?
> 2. На самом ли деле функция ntCreateFile вызывается
> каждый раз при открытии файла?
> 3. Что есть сигнатуры и как с ними работать?
> Желательно на примере (конкретная сигнатура, ее структура в
> БД для антивиря, зависимость алгоритма поиска от структуры
> сигнатуры и т.д.), т.к. общее определение мне понятно.
> 4. Где можно достать БД по сигнатурам для моих
> экспериментов.
>
> Буду очень признателен за любую информацию, ссылки, советы,
> куски кода или алгоритмы по смежным темам.
<programming> Поиск 






Rambler's Top100
Рейтинг@Mail.ru


  Copyright © 2001-2022 Dmitry Leonov   Page build time: 0 s   Design: Vadim Derkach