Важная запчасть антивируса - Общие вопросы Delphi

androdrev · 27.02.2014, 07:21

Привет всем, дайте кую-нить идею, как реализовать сканирование в реальном времени? Сканирование памяти уже реализовано, но поздно будет ловить троян, когда он уже в памяти. Подбросьте справку какую-нить, или исходник там... Плиз)))

Stilet · 27.02.2014, 09:12

Цитата:

поздно будет ловить троян, когда он уже в памяти.

Нет не поздно. Как раз пока он в памяти его и ловить. Когда попадет на винт и защифруется среди фалов - пиши пропало.
И потом нужно прежде всего ловить способы попадания его в ОЗУ и ПЗУ. Пиши драйверы. Службы. Перехват функций ОС на уровне ядра.
Короче бросай это дело.

androdrev · 27.02.2014, 09:21

(1) 27.02.2014 09:21 от androdrev

Цитата:

Сообщение от Stilet

Короче бросай это дело.

Вы издеваетесь? Когда есть команда, когда антивирус уже на 65% готов, я возьму и брошу это дело!

(2) 27.02.2014 09:22 от androdrev

Цитата:

Сообщение от Stilet

Нет не поздно. Как раз пока он в памяти его и ловить. Когда попадет на винт и защифруется среди фалов - пиши пропало.
И потом нужно прежде всего ловить способы попадания его в ОЗУ и ПЗУ. Пиши драйверы. Службы. Перехват функций ОС на уровне ядра.
Короче бросай это дело.

Так раз не поздно - реалтайм проверка уже готова. При запуске процесса он сразу сканируется.

_________________
Не используйте форум как чат - не пишите несколько коротких сообщений подряд!
Есть что добавить - нажимайте кнопку "Правка/Редактировать" на своём крайнем сообщении и изменяйте, добавляйте....

Прошу учесть на будущее...

Модератор.

Аватар · 27.02.2014, 09:24

Цитата:

Сообщение от androdrev

Вы издеваетесь? Когда есть команда, когда антивирус уже на 65% готов, я возьму и брошу это дело!

Если вся команда задает такие же вопросы, могу представить себе уровень антивируса

androdrev · 27.02.2014, 09:26

Цитата:

Сообщение от Аватар

Если вся команда задает такие же вопросы, могу представить себе уровень антивируса

Задаю вопросы я, а не команда. Однако, профессионалов у нас негусто. Два человека, держат команду считай

---------------------------------------------------------
Короче, раз "не поздно", тема закрыта. Уровень антивируса оцените, когда он будет выпущен.

Stilet · 27.02.2014, 09:37

Цитата:

При запуске процесса он сразу сканируется.

Ошибочная стратегия. Подгрузка в память идет не только при запуске. Есть множество способов поместить в память тот или иной блок данных в кольце пользователя.

androdrev · 27.02.2014, 09:44

Цитата:

Сообщение от Stilet

Ошибочная стратегия. Подгрузка в память идет не только при запуске. Есть множество способов поместить в память тот или иной блок данных в кольце пользователя.

Любое обращение к памяти, проверять обращающийся объект и внедряемый. Модифицировать будет несложно.

Пепел Феникса · 27.02.2014, 10:19

Цитата:

когда антивирус уже на 65% готов, я возьму и брошу это дело!

там нет и 25% по сути.

Человек_Борща · 27.02.2014, 10:22

Цитата:

Вы издеваетесь? Когда есть команда, когда антивирус уже на 65% готов, я возьму и брошу это дело!

Какие 65%, вы о чем? Он даже и к 10% готовности не подешел.

Самозащиты - нет.
Сканер ФС вреальном времени - нет.
Сканер самой ФС - кое-как.
Придупреждение запуска банального EXE - нету, чего уж там говорит о сервисах, чужих сессиях и процессах в них и т.д. и т.п.

Какие тут 65% антивируса? Он даже запуск калькулятора не заблокрует.

Цитата:

Привет всем, дайте кую-нить идею, как реализовать сканирование в реальном времени?

Пишется драйвер для ring0, и мониторите обращения к ОЗУ, ПЗУ, там же проверяете обращения чужих потоков к ПЗУ и ОЗУ занятой антивирусом(доп. защита).

Цитата:

Так раз не поздно - реалтайм проверка уже готова. При запуске процесса он сразу сканируется.

Да? И когда и где вы начинаете сканировать?

androdrev · 27.02.2014, 10:32

Цитата:

Сообщение от Человек_Борща

Какие 65%, вы о чем? Он даже и к 10% готовности не подешел.

Самозащиты - нет.
Сканер ФС вреальном времени - нет.
Сканер самой ФС - кое-как.
Придупреждение запуска банального EXE - нету, чего уж там говорит о сервисах, чужих сессиях и процессах в них и т.д. и т.п.

Какие тут 65% антивируса? Он даже запуск калькулятора не заблокрует.

Пишется драйвер для ring0, и мониторите обращения к ОЗУ, ПЗУ, там же проверяете обращения чужих потоков к ПЗУ и ОЗУ занятой антивирусом(доп. защита).

Да? И когда и где вы начинаете сканировать?

Самозащита - ЕСТЬ (с чего вы взяли что нет?!)
Сканер ФС реатайм - что и обсуждается
Сканер самой ФС - не "кое-как" а норм, быстрый и хороший, out of memory больше нету
Предупреждение запуска ехе - скоро будет, почти готово.

За совет спасибо.

Цитата:

Сообщение от Человек_Борща

Да? И когда и где вы начинаете сканировать?

При запуске процесса он сканируется, если он "кака" - завершаем его, говорим пользователю. Пользователь сам решит.

27.02.2014, 07:21	#1
androdrev Форумчанин Регистрация: 19.03.2013 Сообщений: 135	Важная запчасть антивируса Привет всем, дайте кую-нить идею, как реализовать сканирование в реальном времени? Сканирование памяти уже реализовано, но поздно будет ловить троян, когда он уже в памяти. Подбросьте справку какую-нить, или исходник там... Плиз)))

Похожие темы
Тема	Автор	Раздел	Ответов	Последнее сообщение
на счет антивируса.....	PooPs	Помощь студентам	3	27.12.2012 22:22
Выбор антивируса	AlterProger	Безопасность, Шифрование	1	02.02.2010 22:28
Без антивируса	Slavik	Безопасность, Шифрование	54	25.05.2009 01:46
Очень важная работа!!!	Антон	Фриланс	6	22.02.2007 11:12