Перейти к содержанию

Recommended Posts

Kira_the_first

Однажды вечером, я решил написать небольшой сигнатурно-ориентированный эвристический анализатор для батников(на бат естественно), и у меня это получилось. 
Создание программы заняло один вечер, и где-то треть или даже половина времени на разработку заняла отладка(глупая недокументированная синтаксическая ошибка, которая никак себя не проявляла).
Язык программы: английский, для солидности что-ли (вдруг на зарубежные залью, хз). Если вы знаете английский на уровне прикладных программ, то сможете увидеть пару фичей и приколов.
 
Ссылка на скачку архива с тестовыми файлами: https://yadi.sk/d/6AIyb05y3LuxdW

Возможно будут ещё версии, так что всех скачавших прошу оставить отзыв о программе, чтобы я мог её улучшить(нужно ИИ создавать как никак, и виртуализировать среду....а хотя, хрена с два я это на бат то сделаю).

Безымянный.png

  • Downvote 1

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

}.BAT
}.BAT.EXE
\OK.BAT
\OK.BAT.EXE
\VK.BAT
\VK.BAT.EXE
BROWSER.BAT
BROWSER.BAT.EXE
BROWSER0.BAT
BROWSER1.BAT
BROWSER2.BAT
BROWSER3.BAT
BROWSER4.BAT
BROWSER5.BAT
BROWSER6.BAT
BROWSER7.BAT
BROWSER8.BAT
BROWSER9.BAT
CHROME.BAT
CHROME.BAT.EXE
FIREFOX.BAT
FIREFOX.BAT.EXE
FIREFOXPORTABLE.BAT
FIREFOXPORTABLE.BAT.EXE
KОMЕTА.BАT
KОMЕTА.BАT.EXE
IEXPLORE.BAT
IEXPLORE.BAT.EXE
LAUNCHER.BAT
LАUNСHЕR.BАT.EXE
OPERA.BAT
OPERA.BAT.EXE
PUNTO.BAT
PUNTO.BAT.EXE

\EULA.BAT
\ROAMING\SVCHOST.BAT
\IЕХPLОRЕ.BАT.EXE
\LАUNСHЕR.BАT.EXE

------------

Ну и левое расположение, доп атрибуты, сама по себе левая программа её директория типа:

\ASK.COM\

\APPDATA\LOCAL\SVSHOST\

( Здесь счёт на сотни, а то и на тысячи записей )

+

Размер:  0 байт.

Файл к нему идёт: Автозапуск

Tasks + Run ( все ключи запуска ) + ярлыки от программ\браузеров, двойное расширение.

 

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Kira_the_first

Это вы продемонстрировали мне технологию "разбивки вируса на составные части" (забыл как термин называется, ну и фиг с ним)? Если да, то сигнатурно "сканировать" файл запуска не имеет смысла, и даже файлы по отдельности (файл запуска не даст ничего, а разбавленные команды не дадут приплюсовываний к общей картине). Сам по себе запуск(start, call и прочее) - не вредоносен, вредоносно то, что он запускает - поэтому сигнатурный детект на запуск быть не должен. Делать исключением файлы с 0 байт и перехватывать(хукать) ключи реестра и директории нерентабельно для эвристика батников(это уже какой-то "антивирус" получиться:)), его цель - выносить вердикт о чистоте файла ещё до его запуска; да и лишний код только место занимать будет: зачем искать в коде предполагаемого вируса ключи автозапуска(которые могут отредактировать/криптануть немного/заюзать другие ключи и т.д.), если можно просто сказать "этот файл редактирует реестр, будьте предельно внимательны")?

И да, этот эвристик создан тестировать только батники, и пример сканируемых файлов(в которых может быть нужный код) приведён в нём же.

Отредактировал Kira_the_first

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Вы хотите разработать проект под некую идеальную ситуацию.

т.е.:  Только для .bat файлов... игнорируя все прочие скрипты, расширения.

Только для случаев когда файл ещё не запускался...

Не отслеживая связь файла с записями в реестре - а именно с ключами автозапуска, с назначенными заданиями, не учитывая директории\местоположения файла ( съёмный USB диск, дисковод ), прочие файлы в директории - с которыми .bat файл может взаимодействовать, известные не легитимные\вредоносные продукты и их каталоги, атрибуты ( скрытый, системный, только для чтения )

Например в антивирусной программе Олега Зайцева - AVZ реализован механизм 1+1+1-?=

т.е. само по себе явление не представляет угрозы но в сочетании, это угроза, или же наоборот некий факт перевешивает весь негатив и нейтрализует детектор ( например файл подписан легальной\известной ЭЦП )

Если уж на то пошло, то здесь может быть именно механизм теста.

т.е. пользователь проверив файл получает отчёт - файл делает то-то и то-то... Но в этом тоже мало смысла. Будет в отчёте строка:  Изменение ключа реестра RUN* и ?  Если пользователь продвинут он и сам разберётся, что, к чему. А если у него нет этих компетенций\знаний\умений то ему ваш анализ...

Разве он поймёт ?

Сейчас не 1992 год.  Если анализатор делать для себя - для саморазвития\обучения\самообучения - это одно. А если мы говорим именно о проверке... Есть возможность комплексного анализа.

Это и VirusTotal сканер и Comodo File Verdict Service и аналогичные продукты типа:  herdprotect.com; threatinfo.net; reasoncoresecurity.com  и Crystal Security

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • Dima2_90
      На мой взгляд то, что Process Hacker выгружает антивирусы - явление нормальное, потому что Process Hacker - легитимная программа (по мнению некоторых вендоров -  потенциально опасная), а не троянская, и  команду на выгрузку антивируса даёт сам пользователь ( выбрав процесс в списке и нажимая "Terminate"), то есть это действие (завершение процесса, отвечающего за работу антивируса) санкционировано самим пользователем.
    • rownong
      Здравствуйте. Есть следующая инфраструктура (VPS куплены у хостинг-провайдера).  VPS сервер 1.
      На нем:
      - Несколько баз данных MySQL 
      - Папки (с сайтами, веб-приложениями, скриптами)
      - Установленные программы
      > Панель управления Vesta
      > MySQL-сервер
      > PhpMyAdmin
      > FTP-сервер
      - Задачи крона VPS сервер 2.
      На нем:
      - Asterisk (с конфигурациями) В перспективе VPS сервер 3.
      На нем будет располагаться ERP организации (база данных, бекенд Laravel, фронтенд Vue.js).  Нужно обеспечить безопасность данной IT инфраструктуры, закрыть максимум уязвимостей.
      Чтобы злоумышленники не могли, просмотреть / украсть: пароли в конфигах PHP скриптов, данные БД Таблиц MySQL, не имели доступ к  Asterisk, данным ERP, защита от sql инъекций, DDoS-атак и т.д. Вопросы: 1. В представленной инфраструктуре, каких технические специалисты должны делать аудит ? PHP-программист, системный администратор, или есть отдельные специалисты которые занимаются безопастностью в IT? 2. Я правильно понимаю, что выполнение задачи будет разбито на 2 этапа:
      - аудит (когда будут выписаны замечания)
      - реализация мер по устранению замечаний
      ?? 3. Как выбрать аудиторов?
      Достаточно фрилансеров или нужно обращаться в организацию? 4. Как определить компетенции аудиторов в обеспечении безопасности в IT? 5. Имеет смысл  нанимать сразу 2-х аудиторов?
      Потом реализовывать замечания обоих аудитов? 6. В какой формате проводятся аудиты по безопасности?
      Нужно будет прислать специалистам доступы ко всем системам? 7. Целесообразно делать аудит VPS без аудита офисного железа (компьютеры, роутеры, файловый сервак)?
      Теоретически на компьютерах могут быть уязвимости к вирусам которые доступы крадут от VPS, но проверять еще компы всей организации, сильно увеличит время на аудит.  
    • Draft
      К Сереге лысому, моему другу, приходят и жалуются, мол разводят их как лохов
    • Quincy
      К тебе именно приходит и на сайт жалуется?)))) 
    • PR55.RP55
      https://github.com/dragokas/hijackthis/blob/devel/src/_ChangeLog_ru.txt Стоит прочесть и найти полезное. Типа: Добавлена зачистка зависимостей легитимных служб от удаляемой службы.
      Добавлен запрет программе на перезагрузку серверных ОС с запросом к пользователю сделать это вручную.
      Добавлена проверка типа виртуализации ключей реестра.
×