29/12/07 12:24
Maury91
Sto faccendo un antivirus e mi servirebberò delle informazioni (un database) in cui l'antivirus deve controllare per sapere se il file è un virus o no, l'antivirus per ora è senza database ed è in grado solo di dirti quali sono i nuovi file .exe nel computer e quelli cancellati (cosi se ti attacca un virus è più facile trovare tutte le copie), monitora i programmi/file che si autoavviano alla partenza del omputer (2 chiavi del registro e 2 cartelle (windows/run ed Esecuzione automatica)).
se volete darmi una mano mi potete dare delle informazioni sui virus che trovate :
posizione del .exe (o dei .exe) (potete usare anche %systemdirectory% per non fare confusione)
piccola descrizione
qualche segno di riconoscimento del task (mi serve il nome della finestra (o il title dell'applicazione) cosi ne ricavo l'handle) upperò su questo sito a breve un programma per terminare i task
p.s. grazie hacker ci sono riuscito a terminare i processi
aaa
01/01/08 11:33
Maury91
Bene il sistema di utilizzo delle basi antivirus è finito, anche se molto semplice fa la sua funzione (Dovrei aggiungere qualche informazione sui virus).
Le basi antivirus sono composte da 3 files, che il loro contenuto verrà eseguito nel seguente modo :
per primo viene eseguito il file : Terminateprocess.reg
per secondo viene eseguito : deletefiles.reg
e per ultimo : deletekeys.reg
Ogni file ha una diversa sintassi interna e un diverso utilizzo :
LA SINTASSI CON CUI SONO SCRITTI I FILES NON CORRISPONDE A NESSUN LINGUAGGIO DI PROGRAMMAZIONE, hanno una sintassi tutta loro e possono eseguire solo quelle operazioni sotto scritte
anche se c'è scritto presumibilmente python laggiu (non lo messo è colpa dei marcatori code)
Il file : Terminateprocess.reg elenca i processi da terminare (Questa azione viene eseguita per prima perchè se il virus non viene chiuso non lo si può cancellare), la sintassi è la seguente :
//
//Parametro 1 : Possibile processo parente 1
//Parametro 2 : Possibile processo parente 2
//Parametro 3 : Possibile Processo parente 3
//Parametro 4 : Possibile Processo parente 4
//Parametro 5 : Possibile Processo parente 5
//Parametro 6 : Possibile Processo parente 6
//Parametro 7 : Processo sicuramente non parente 1
//Parametro 8 : Processo sicuramente non parente 2
//Parametro 9 : Nome processo
//
//nil = nullo (non usato)
//Sconosciuto = processo gia terminato
// il doppio slash (//) fa diventare l'intera riga un commento (per l'antivirus)
//
//Esempio :
//Virus AA01 : CSRSS.exe
back.exe
CSRSS.exe
SERVICES.exe
Sconosciuto
Explorer.exe
Winlogon.exe
smss.exe
nil
CSRSS.exe
//Il virus qua sopra esiste veramente (purtroppo)
Il file : DeleteFiles.reg elenca i files da eliminare (per eliminare ogni traccia), la sintassi è la seguente :
//
//Parametro1 : nome file
//
//%DriveRemovable% = "lettera + : " del drive di tipo rimovibile (pennette)
//%DriveFixed% = "lettera + : " del drive di tipo fisso (Hard disks)
//%DriveRemote% = "lettera + : " del drive di tipo remoto (Computer collegati in rete)
//%SystemRoot% = Directory di sistema (Esempio : C:\Windows\)
//I floppy e i CD-ROM non vengono contatti tra i Drive
//per usare il floppy scrivere A:\ o B:\ (le classiche lettere dei floppy)
//
//Esempio :
%SystemRoot%\CSRSS.exe
Il file : DeleteKeys contiene le chiavi del registro da eliminare, la sintrassi e le seguente :
//Sintassi :
//Parametro 1 : Root Key :
// 0 : HKEY_CLASSES_ROOT
// 1 : HKEY_CURRENT_USER
// 2 : HKEY_LOCAL_MACHINE
// 3 : HKEY_USERS
// 4 : HKEY_PERFORMANCE_DATA
// 5 : HKEY_CURRENT_CONFIG
// 6 : HKEY_DYN_DATA
//Parametro 2 : Directory Chiave
//Parametro 3 : Chiave
//
//Esempio :
2
SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Script di Sistema
Ultima modifica effettuata da Maury91 01/01/08 16:18
aaa
05/01/08 15:41
CGiuseppe
Mi pare di capire che c'è una specie di corrispondenza fra i tre files, e gli aggiornamenti funzionano così...
E proporrei di chiamarlo "Ironmrow Antivirus" anzichè di Maury Antivirus perchè quest'ultimo farebbe intendere che è solo uno il programmatore dell'antivirus e tra l'altro mi piacerebbe se collaborassimo insieme nella stesura del codice.
Ironmrow deriva da una cosa:
Per difendersi usi uno scudo, lo scudo di che materiale è fatto, mettiamo ferro (in english = iron), mrow (è il contrario di worm)... Come ti sembra?
Ultima modifica effettuata da CGiuseppe 05/01/08 15:49
aaa
05/01/08 16:18
Maury91
un pochetino difficile da pronunciare, l'avevo chiamato Maury perchè per ora l'ho fatto da solo, "Ironsuriv" è lo stesso difficile da pronunciare,
va bè il nome è l'ultimo dei problemi XD
Bisogna potenziare le basi, per ora elimina con sicurezza solo un Virus XD.
Devo inserirgli la funzione di aggiornamento automatiche dopo aver deciso dove devono stare i 3 files (Ovviamente i files sono in ASCII per semplicità d'uso dell'utente)
aaa
XD davvero molti.