Romanian PC-Cillin este un mic anti-virus, care detecteaza coduri malitioase, in urma scanarilor fisierelor(.exe, .com., .bat) si o analiza simpla a porturilor. Cuprinde si un micut “Computer repair”, cu mici coduri de reparare a sistememului de operare, si un hexa-editor care permite vizualizarea si scrierea locatiilor de memorie.
Auto-Protection system - verificarea periodic automat, a unor componente ale sistemului de operare, pentru securitate. Iar daca sunt dezactivate, anti-virusul avertizeaza utilizatorul, de problema si programul permite reactivarea lor.
Cum functioneaza?
Detectand amprente cunoscute, sau detectand virusi chiar si fara amprente, Cum?
Urmarind stabilitatea fisierelor in timp.
2.Cautand fisiere care si-au modificat structura initiala.
Virusi(backdoor-uri) care deschide anumite porturi(conexiuni).
Auto-Protection system
Scanarile?
Cum am mentionat mai sus, programul are 3 tipuri de scanari
Scanare dupa amprente
Avand amprenta, cautam fisierele pitite(virusii),
Scanare dupa modificare de CRC
Avem CRC-urile la toate (.exe;.com*.bat) si verificam periodic daca si-au modificat valorile in timp, adica si-au modificat structura(lucru nepermis)
Scanare dupa anumite porturi
Scanam porturile deschise calculatorului, pe baza unor tabele,
“ Virusi porturi”
Auto-Protection scanner
Verifica periodic daca componentele sistemului de operare pentru securitate sunt activate.
In urma scanarilor, fisierele(virusii), pot fi trecuti in carantina, ulterior se poate lua decizia dea fi sterse.
Am dezasamblat acele coduri malitioase cu IDA, sau cu hexa-editorul implementat in software, si am creat o semnatura buna, ca si eventualele mutatii ale virusilor, sa fie detectate.
Prin scanarile cu CRC, si noile scanari din versiunea 2.0, programul indentifica, o multime de tipuri de virusi, fara amprenta, pe baza comportamentelor acestora.
Programul permite crearea de amprente, editarea lor in hexa, uploadarea, “codurilor malitioase” necunoscute cu comportament, de posibil virus, si la cerea utilizatorului, pe un cont de FTP, urmand ca un virus specialist sa stabileasca, daca este virus, sa creeze o amprenta, si sa creez un update, si sa il trimita tuturor utilizatorilor.
In fine daca esti interesat il poti downloada, sa butonezi o versiune de asta iarna.
Oricum studiaza in timp, stabiltiatea in timp a fisierelor .exe,.bat.com, si detectia amprentelor, catalogate drept virusi, trecerea lor in carantina, un scanner de porturi, cu o lista de virusi-porturi, verificarea unor registry ale sistemului de operare, Windows, corectarea “hole”-urilor, din Windows, care se regasesc in registry, posibilitatea de a studiat si edita, codul hexa, al fisierelor/virusilor cat si crearea manuala de amprente, prin 6 clickuri. Ulterior, putand gasi programele(virusii) cu aceeasi amprenta in calculator, cand ei se multiplica. Daca esti interesat de ultima versiune, da-mi un PM.
Ideea era sa scriu cat mai mult eu, si sa implementez cat mai multe optiuni scrise by hand, si nu utilizand, componente sau, librari. Am creat cateva amprente dupa o regula proprie(fiind continut anumitor adrese de memorie luata dupa o anumita regula, nu checks-um, numita SignatureA), dar am si o baza de date, numita SignatureB, cu vreo 80.000 de amprente, fiind un CRC32(folosind bineinteles MD5). Deci SignatureB nu este facuta de mine, ci importata de la alt software. Eu doar o folosesc.
SignatureB, este prezenta doar in versiunea 2.0. Idea de baza este stabilitatea in timp a fisierelor exe, cat si comportamentul acestora. Oricum daca o semnatura se gaseste in baza de date, fie a mea, fie cea importata, programul reuseste sa il detecteze, si sa aplice anumite reguli.
O versiune mai veche(care cuprinde doar SignatureA), poate fi downlodata dupa website.
Multumesc pentru feedback, tinand cont ca este la subiect
Cu placere! Ma bucura totusi faptul ca ai folosit si acel SignatureB (pentru o mai buna securitate).
Cat despre componente nu trebuie sa te feresti de ele atata timp cat softul tau nu este format din componente luate ci intr-o proportie de 80-90% e facuta de tine munca. Daca tii de procentul asta zic eu ca o sa fie bine.
Insa, ideea este ca pe viitor, cand alegi un soft, nucleul lui sa se bazeze pe munca ta 100% iar partile anexe sa fie componente. In acest caz ai putea pana la concurs sa mai adaugi anumite optiuni de analiza ale fisierelor, sau alte optiuni care sa faca si ele parte din nucleul softului.
Vazusem la Infomatrix 07 un software facut de un elev dintr-o tara din Asia (nu am retinut din pacate ce tara) care a facut un antivirus care trata virusurile polimorfice. In viitor ai putea si tu sa te bazezi pe astfel de antivirusi, care trateaza un anume segment destul de sensibil si eviti downloadarea unei baze de date sau alte lucruri de genul. Din cate am vazut a aparut un virus metamorfic. Nu ma ocup de acest segment din securitate dar pentru un head-start: http://en.wikipedia.org/wiki/Metamorphic_code.
Problema virusilor polimorfi, eu zic ca a fost rezolvata onorabil in primele versiuni ale programului, atunci nu dispuneam de o baza de date mare de amprente, si soft-ul se baza pe stabilitatea fisierelor *.exe *.bat si *.com. Initial programul calculeaza CRC-ul, la toate *.exe *.bat si *.com-urile, de pe partitile alese. urmand ca la urmatoarea scanare, daca apar diferente de CRC-uri, inseamna ca programul poate fi tratat ca posibil virus, si trecut in carantina, upgradat pe un server, pt stiudiu si etc.
Ulterior aceasta parte a soft-ului am rafinat-o prin diverese optiuni. Verifica stabilitatea header-ului, facand o amprenta si a header-ului unui program, si verificand-o prin calculator. Oricum aplicatia introare si alarme false. Exemplu programele recompilate(si avand linii in plus), le intoare ca posibili virusi, cu toate ca ei sunt programe bune.
Verificarea virusilor polimorfi si prin amprenta proprie(SignatureA) si nu prin SignatureB(fiind un simplu CRC32, cu un MD5, metoda folosita in general de uni antivirusi).
PS: Chiar dupa antivirisul de la InfoMatrix mi-a venit si mie ideea, am zic ca daca a putut sa o scrie un tip, pot sa scriu si eu.
Nu mai retin exact dar dupa ce m-am uitat prin documentatia tipului facuse o analiza foarte amanuntita avand o parte a softului care studia codul de asamblare al programului analizat. In functie de instructiunile de acolo, iti zicea sigur daca e sau nu virus polimorfic.
Din pacate documentatia asta era numai pentru juriu, asa ca nu am putut sa analizez prea bine ce scrisese.
Da! Multumesc pentru detalii. Eu implementat, problema, la nivel hight-level, asa cum am considerat eu, ca trebuie abordata. Momentan implementarea mea nu rezolva cazul in care se multiplica si nu infecteaza alte fisiere *.exe *.bat *.com, deoarece necesita un algoritm O(N^2) unde N = numarul total de fisiere *.exe *.bat si *.com. Problema am rezolvata, daca am amprente. Fiind O(N)(fiind doar o parcurgere a fisierelor), si verificarea CRC-urilor. Daca codul malitios este polimorf, il detectez, daca se modifica(el insusi), sau infecteaza alte fisiere, il va gasi, si fara amprenta. Daca se multiplica,si nu infecteaza alte fisiere(modifica) nu il va gasi, fara amprenta, din pacate .
Oricum ultima versiune este mult mai completa, am lucrat in paralele la 4-5 aplicatii, un an de zile. si le-am prezentat si la niste concursuri. Stiu ca este foarte departe de a fi un antivirus comercial, in spatele carora, se gasesc companii si programatori puternici.
Stiu ca este foarte departe de a fi un antivirus comercial, in spatele carora, se gasesc companii si programatori puternici.
Asta nu trebuie sa te impiedice sa te gandesti la o idee noua care ar putea transforma cu totul softul tau astfel incat sa devina comercial datorita acelei sclipiri de moment.
Nu zic ca e usor, e greu, dar ai putea incerca sa te gandesti la asa ceva. :smile:
Pai cam totul este acaparat de firmele mari de specialitate.
Bun deci este lesne de inteles ca o firma care are 100 de programatori platiti sa faca un anumit soft il vor face mai rapid si mai profesional decat un elev. Dar noi participam la un concurs intre elevi, iar faptul ca unul dintre noi si-a propus sa ne demonstreze ca un antivirus bun poate fi scris chiar si de un elev este un lucru laudabil.... Abia astept sa vad prezentarea ta la Galaciuc. Mi-ai captat atentia....
.