Возможно ли самостоятельно разработать антивирус

[Petuya 5]

ARCHANGEL

По поводу твоего разбора NetScreen.

1) Он-таки на ассемблере, а не на C/C++. Это заметно.

2) Дропает он не сразу батник, он дропает дроппер (DLL) и его базу данных (рассчитанную на несколько батников). Первая строка - это стартовая позиция файла, его имя (в который надо сдропить), потом идет видимо размер. Длл-ка походу какого-то немца, т.к. ошибка выводится на немецком и английском (что подтверждает вариант, что Бабушкин никакого отношения к коду не имеет). Все, что умеет - парсить эту "базу", загружать и запускать эти файлы (дожидаясь завершения).

3) "Куча функций переливания из пустого в порожнее" - это работа со строками. Копирование, сложение, создание, удаление. Ну и работа с файлами вся обернута таким же образом. Почти как в делфи, но не делфи.

И еще, ARCHANGEL, добавь разбор Fin.dll. Это PEiD (сразу видно).

[vpv 4]

Имхо тема себя изжила.

Уже все разобрано и пошло по второму кругу.

Или давайте конкретные меры принимать и обсуждать их результаты или закрывайте флудотоп. Первый раунд с Бабушкиным - ничья.

Бабушкин, залогинтесь!

Какой второй круг?? Только сейчас стали по полочкам разбирать этот "код". Меры будем стараться принимать.

[ARCHANGEL 40]

По поводу твоего разбора NetScreen.

1) Он-таки на ассемблере, а не на C/C++. Это заметно.

2) Дропает он не сразу батник, он дропает дроппер (DLL) и его базу данных (рассчитанную на несколько батников). Первая строка - это стартовая позиция файла, его имя (в который надо сдропить), потом идет видимо размер. Длл-ка походу какого-то немца, т.к. ошибка выводится на немецком и английском (что подтверждает вариант, что Бабушкин никакого отношения к коду не имеет). Все, что умеет - парсить эту "базу", загружать и запускать эти файлы (дожидаясь завершения).

3) "Куча функций переливания из пустого в порожнее" - это работа со строками. Копирование, сложение, создание, удаление. Ну и работа с файлами вся обернута таким же образом. Почти как в делфи, но не делфи.

И еще, ARCHANGEL, добавь разбор Fin.dll. Это PEiD (сразу видно).

1. exe - согласен, асм. b2e.dll - C, ООп кода там я не увидел.

2. "Первая строка - это стартовая позиция файла, его имя (в который надо сдропить), потом идет видимо размер." - опущено в анализе, т.к. несущественно. В принципе, могу добавить. К сожалению, файлов слишком много чтоб прям каждую строчку прокомментировать. Так что да, критика приветствуется.

3. "это работа со строками. Копирование, сложение, создание, удаление." - Куча функций переливания из пустого в порожнее. А ещё выделение, освобождение памяти из кучи, перемещение строк из одного буфера в другой и т.д.

На счёт разбора Fin.dll - да, обратим внимание.

[Petuya 5]

Пункт TODO "найти надпись про гусей" - очень просто. ControlX.dll, там в юникоде лежит строка. В декомпиле - форма AI, адрес loc_581158.

[ARCHANGEL 40]

Пункт TODO "найти надпись про гусей" - очень просто. ControlX.dll, там в юникоде лежит строка. В декомпиле - форма AI, адрес loc_581158.

Это я видел много раз на разных ресурсах. Имеется ввиду, логически связать запуск/функционал модуля с этой надписью с общей работой антивирусного продукта.

[Petuya 5]

Это я видел много раз на разных ресурсах. Имеется ввиду, логически связать запуск/функционал модуля с этой надписью с общей работой антивирусного продукта.

Выводится, когда оставшееся количество дней лицензии равно 950.

[ARCHANGEL 40]

Выводится, когда оставшееся количество дней лицензии равно 950.

Я вам верю, но нужно это как-то логично и с доказательной базой втиснуть в исследование.

[Petuya 5]

На первой странице обсуждения был отскриншотен код декомпилера. Там видно, что выводится если некое Timer4.Caption = "950".

Можно открыть C:\Windows\wusa.dll, вписать туда 950, запустить панель конфигурации АВ и увидеть эту самую надпись.

Пруф http://www.anti-malware.ru/forum/index.php...st&p=167204

[amid525 67]

Аналитики тоже с юмором.

Вирлаб жжот.

Непонятно, куда жжот..

"это всеми известный антивирус Бабушкина!"

Т.е, они не считают его фейком.. , а Антивирусом!

Так-то..

[Kapral 311]

Непонятно, куда жжот..

"это всеми известный антивирус Бабушкина!"

Т.е, они не считают его фейком.. , а Антивирусом!

Так-то..

Неверное цитирование

Вот как надо понимать

это всеми известный антивирус Бабушкина!

[Z.E.A. 190]

Непонятно, куда жжот..

"это всеми известный антивирус Бабушкина!"

Т.е, они не считают его фейком.. , а Антивирусом!

Так-то..

А кто ответил? Фамилию в студию! Не Паршин случаем?

[amid525 67]

А кто ответил? Фамилию в студию!

Ага, ни какого уважения к трудам, разоблачениям в данном топике..

[alamor 69]

Бабушкин, залогинтесь!

vpv вам Бабушкин уже во всех мерещится?

Какой второй круг??

наверно имелись в виду посты наподобие

Local.bin - очень веселый файл:

в начале темы об этом уже писали.

[ARCHANGEL 40]

Обновился, ну, вы поняли. Добавлен анализ Fin.dll

1. Добавлена информация и исправлены неточности, на которые указывал Petuya

2. Добавлен анализ Fin.dll - сравнение его с PeID.

[Vad 0]

Бабушкин навсегда останется идолом, удачливым ловкачом, легендой для школоты и технарей-дилетантов. Он единственный, кто впарил ложный антивирус в гос. учреждения (правда читерил через папу), и не просто так, а за бабло. Но выиграть государственный гранд по президентской программе! Это высший пилотаж. Такого из производителей фэйк-ав ещё не делал никто. А если учесть бонусы в его "продукте" в виде ворованной интеллектуальной собственности, что тут сказать - красиво поимел лохов! Браво, Алексей!

[GF911 5]

в начале темы об этом уже писали.

Сорри, вероятно не заметил. Но тему не стоит закрывать хотя бы из-за продолжающегося разбора этой поделки Архангелом и сочувствующими.

[Edmond 0]

На данный момент имеется объемный подробный разбор этого творения, но что дальше? Я просто не представляю кто и что будет делать. Кому захочется устраивать те же разбирательства в суде... С другой стороны, иных вариантов не особо видно - сам кадр упрям, журналистам интересен только рейтинг, а никак не правда - об этом уже было сказано...

[Hitomi 20]

А кто ответил? Фамилию в студию! Не Паршин случаем?

Вот только Паршина не надо впутывать. Он няша. К слову - ответ был не на сам инсталятор, а на файлик ImunSVC.exe. Тот, что в папке Windows.

Видимо в ЛК признали наконец фактический факт - "Иммунитет" гораздо круче их "глючного комбайна", который "ниловит трояноф".

*****

Парню (аналитику) всего 20 лет. Так что подход с юмором вполне понятен.

/ох великий Гугл и соц сети - позволяют найти кого угодно. И даже с картинками/

[MrShoor 0]

Бабушкин поклонник таланта Криса Касперски, меня это даже не удивляет.

Бида бида. Если бы он осилил чуть больше, чем эта красивая легенда, то знал бы о чем в статье речь.

2Бабушкин: Срочно три со стены это позорище, лол. Сначала прочти о чем пишут в статье и пойми её смысл.

[ARCHANGEL 40]

Этим товарищ Бабушкин ещё и доказывает, что спёр чужую, хоть и бредовую идею + не осилил дискретную математику, в частности такие понятия как группы, кольца, поля Галуа и т.д. А это, если не ошибаюсь, на начальных курсах читалось. И теперь есть студент третьего курса, который ведёт себя как идиот. Но есть одна проблема - на идиотизм такой спланированно-фейковый антивирус списать не получится. Да и что темнить - даже из журналистского видео видно, что антивирь, который тут потрошат и есть тем самым поделием бабушкина.

[Z.E.A. 190]

Вот только Паршина не надо впутывать. Он няша.

Местами няша, а местами нет.

[MrShoor 0]

Этим товарищ Бабушкин ещё и доказывает, что спёр чужую, хоть и бредовую идею + не осилил дискретную математику, в частности такие понятия как группы, кольца, поля Галуа и т.д. А это, если не ошибаюсь, на начальных курсах читалось. И теперь есть студент третьего курса, который ведёт себя как идиот. Но есть одна проблема - на идиотизм такой спланированно-фейковый антивирус списать не получится. Да и что темнить - даже из журналистского видео видно, что антивирь, который тут потрошат и есть тем самым поделием бабушкина.

Между прочим статья написана настолько хорошо, что её можно осилить без знания дискретки (достаточно IQ иметь 170 ). Видимо ниасилил, и ниасилил на столько, что даже не смог понять смысл статьи. Явно же думает, что она про мегакрутое сжатие данных.

[teaspammer 0]

Антивирус Бабушкина и туземцы

http://johnspade.ru/2013/03/immunitet.html

[alamor 69]

про то что идею архивации он тоже украл, тоже уже писали в топике

P.S. тем кто не следил за темой с самого начала предлагаю перечитать версию для печати или скачать или прочитать офлайн вариант.

[teaspammer 0]

Немного мыслей по поводу ИТ и ИБ в России

http://habrahabr.ru/post/171301/