|
|
Регистрация Восстановить пароль |
Повторная активизация e-mail |
Регистрация | Задать вопрос |
Заплачу за решение |
Новые сообщения |
Сообщения за день |
Расширенный поиск |
Правила |
Всё прочитано |
|
Опции темы | Поиск в этой теме |
31.07.2011, 13:12 | #1 |
Пользователь
Регистрация: 15.06.2010
Сообщений: 10
|
Создание поведенческого блокиратора
Привет) В данный момент у меня стоит задача написания антивирусного блокиратора. Целевая система - Windows XP. Мне не нужно создавать эмуляторы, песочницы, прибегать к сигнатурному анализу.
В основе лежит поведенческий блокиратор всех фунциклирующих процессов. От этого момента задача делится на 2: 1) регистрация действия процесса 2) анализ поведения Поиск по п.1 привел к необходимости перехвата вызовов API путем загрузки dll в удаленный поток целевого процесса. В общем, частично задача решена, только что в SYSTEM не могу пока подгружать…и жесткие тормоза и т.п.))) Т.е. в общем случае это – что-то наподобе filemon,regmon, API Monitor. Поиск по п.2 привел к фэйлу. Сама идея как бы и понятна и непонятна. Я не нашел ни 1 методического описания построения цепочек подозрительных действий и т.д. . Только что на некоторых сайтах есть обобщенные описания действий. Кроме того, существует 1000 и 1 способ сделать 1 и тоже. Вопросы: 1) Насчет п2. Имеет ли смысл разрабатывать эту тему? Че и как делать – не очень понятно. Хотелось бы развернутого ответа) 2) Если п1==true, правильно ли выбран метод слежения? Я не использую хуки, так как они не позволяют перехватить взаимодействия с файлами. Скорее всего, я что-то упустил, но все же жду от вас понимания, сочувствия, комментариев по пунктам, вопросам. Заранее СПС. |
01.08.2011, 07:29 | #2 |
Старожил
Регистрация: 04.02.2009
Сообщений: 17,351
|
Даже если ты и создашь подобную систему на твою голову обрушиться тысячу проклятий, как и на всякие касперские и др. вебы. Любой самодельный инсталятор, отправка экзешника по сети или его распаковка (например с целью обновления программы) будут вызывать срабатывание твоей системы и соответственно лютую ненависть скромных создателей подобных творений.... Основная проблема таких блокираторов - огромное количество ложных срабатываний. Например, на обычный кряк программы...
Маньяк-самоучка
Utkin появился в результате деления на нуль. Осторожно! Альтернативная логика |
01.08.2011, 17:35 | #3 |
Старожил
Регистрация: 06.08.2007
Сообщений: 2,183
|
Это типа HIPS, BSS. Кстати в Докторе Вебе нету этого.
|
Похожие темы | ||||
Тема | Автор | Раздел | Ответов | Последнее сообщение |
создание ОС | levinter | Assembler - Ассемблер (FASM, MASM, WASM, NASM, GoASM, Gas, RosAsm, HLA) и не рекомендуем TASM | 52 | 21.04.2012 20:53 |
на создание | TALGAT777 | Общие вопросы Delphi | 0 | 09.04.2011 14:34 |
Создание БД | Mythbuster | Microsoft Office Access | 1 | 11.01.2011 14:43 |
Создание | gadilla_cs | Общие вопросы Delphi | 12 | 10.12.2010 17:56 |