Легенда:
новое сообщение
закрытая нитка
новое сообщение
в закрытой нитке
старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
Ряд мыслей: 24.11.06 17:41 Число просмотров: 2979
Автор: NKritsky <Nickolay A. Kritsky> Статус: Elderman
|
Ряд мыслей:
1. проверять надо не только .exe если ты плаируешь отлов макровирусов.
2. Вместо перехвата ntCreateFile более кошерно наверное писать драйвер фильтра который встраивается в цепочку IFS драйверов и отлавливает IRP_MJ_CREATE вызовы.
3. http://www.google.com/search?q=opensource+antivirus&hl=en&sourceid=gd&rls=GGLD,GGLD:2006-37,GGLD:en
а) поспрашивать там на форумах
б) взять (обговорив лицензионные вопросы с разработчиками!!!) базу сигнатур и библиотеку работы с ней.
4. посмотреть также на Vx сайты. Там частенько обсуждаются антивирусы. Из тех что я знаю - Земский Фершал очень интересно пишет. Может тебе ещё насоветуюут.
в общем так
> Доброго времени суток! > > Получил задачу на курсовой проект разработать антивирусный > монитор под Windows 2000/XP. Кое-какую информацию удалось > нарыть в И-нете, кое до чего сам додумался, но чувствую, > что не хватает совета опытного человека. > Сам антивирусный монитор планирую реализовать в виде > драйвера уровня ядра, который перехватывал бы WinAPI’шную > функцию ntCreateFile (в названии могу ошибаться, но > теоретически эта функция вызывается при каждой попытке > открыть/запустить файл), и для открываемых *.ехе-файлов > осуществлял поиск вирусов по сигнатурам (база на несколько > вирусов – ведь не на продажу же пишем))). Если найдены > признаки вируса, то доступ к этому ехе-шнику блокируется. > > Теперь собственно вопросы, по которым я хотел бы услышать > мнение знающих людей: > 1. По какому еще алгоритму можно попробовать > реализовать антивирусный монитор? > 2. На самом ли деле функция ntCreateFile вызывается > каждый раз при открытии файла? > 3. Что есть сигнатуры и как с ними работать? > Желательно на примере (конкретная сигнатура, ее структура в > БД для антивиря, зависимость алгоритма поиска от структуры > сигнатуры и т.д.), т.к. общее определение мне понятно. > 4. Где можно достать БД по сигнатурам для моих > экспериментов. > > Буду очень признателен за любую информацию, ссылки, советы, > куски кода или алгоритмы по смежным темам.
|
|
|