Hash'e MD5 malware
#1
Cześć! Chciałbym was poprosić o jak największą liczbę hashy MD5 złośliwych plików. Dlaczego? Gdyż piszę własne oprogramowanie antywirusowe, działające w real-time, które już jest lepsze od FM, bo ma menu przy minimalizacji do tray''a Cool

A teraz do rzeczy. Gdybyście mogli, proszę dawajcie mi to w ten oto sposób:

hashMD5 | Nazwa zagrożenia

Teraz przykład na Eicarze:
44d88612fea8a8f36de82e1278abb02f|Eicar.AV.TEST

Bez żadnych spacji itd. ProszęBeer
0x DEADBEEF
Odpowiedz
#2
Antywirus oparty o MD5 jest bez sensu. Chyba ze masz zamiar zrobić go w chmurze i dodać tam z kilkadziesiąt milionów haszy.
Odpowiedz
#3
Chomikos wymyślasz i daj sobie spokój z av opartym o hashe,temat stary jak świat i chyba było już u nas to poruszane,lepiej kup silnik bitdefendera Smile
Odpowiedz
#4
Chomikos odezwij się na priv.

Z nazwą zagrożenia mam kilkaset tysięcy haszy. Bez nazwy zagrożenia około 100 milionów.
Do większej ilości haszy, potrzebna jest dość dobra chmura. Gdyż, jeśli wpakuje się to na dysk to program zajmowałby kilka giga pamięci RAM.

P.S. Również zbieram hasze, ale z rozmiarem pliku.
Odpowiedz
#5
chomikos napisał(a):A teraz do rzeczy. Gdybyście mogli, proszę dawajcie mi to w ten oto sposób:

hashMD5|Nazwa zagrożenia

Teraz przykład na Eicarze:
44d88612fea8a8f36de82e1278abb02f|Eicar.AV.TEST


Ale z nazwą zagrożenia wg. jakiego producenta? Jednego konkretnego, sprecyzowana grupa z listą - hierarchią (np. jak pierwszy AV nie wykrywa to nazwa pochodzi od następnego AV na liście który wykrywa) czy jak leci?

Po za tym skąd masz pewność, że dany producent AV nie popełnił FP na pliku i dodał nieszkodliwy plik do bazy? , albo dodał FP a potem po np. tygodniu usunął z baz (korekta), a ty np. w miedzy czasie dodałeś taki plik do listy zagrożeń (wtedy twój produkt pousuwa ludziom czyste pliki)

Statyczna baza MD5|zagrożenie i oparty na nim AV nie zda egzaminu.
Musiała by być dynamicznie odświeżana (chmura) jeśli tylko były by zmiany (FP) wg. listy producentów które byś ujął w tym AV. Każdy producent AV w swoich labach podejrzewam, że ma coś takiego Smile
KIS/EIS/MKS, MBAM, HitmanPro, Eset Online, WF+uBlock
Odpowiedz
#6
Dlatego wprowadzam funkcję aktualizacji, tymczasowo nie jest ona jeszcze automatyczna, ale działa.
0x DEADBEEF
Odpowiedz
#7
Może tak połączyć siły:

[Aby zobaczyć linki, zarejestruj się tutaj]

KIS/EIS/MKS, MBAM, HitmanPro, Eset Online, WF+uBlock
Odpowiedz
#8
Nie wiem, szczerze z chęcią, lecz sądzę że to mało prawdopodobne, ze względu choćby mojego dosyć młodego wieku (za miesiąc 14 dopiero) i wagi mojego projektu, oraz Crystal''a.
0x DEADBEEF
Odpowiedz
#9

[Aby zobaczyć linki, zarejestruj się tutaj]

...autor Crystal Security...bywał u nas i jest zarejestrowanym użytkownikiem forum. Może spróbuj napisać na PW, poza tym bywa regularnie na Wildersach też. Trzeba jednak pamiętać, że jego program jest już właściwie multiskanenrem porównywanym czasem do HMP, tyle że działa na bieżąco w czasie rzeczywistym.
"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
Odpowiedz
#10
ELWIS1 napisał(a):Chomikos odezwij się na priv.

Z nazwą zagrożenia mam kilkaset tysięcy haszy. Bez nazwy zagrożenia około 100 milionów.
Do większej ilości haszy, potrzebna jest dość dobra chmura. Gdyż, jeśli wpakuje się to na dysk to program zajmowałby kilka giga pamięci RAM.

P.S. Również zbieram hasze, ale z rozmiarem pliku.

Nie koniecznie, nie trzeba wszystkiego trzymać jak nowy od Microsoftu SQL Server w "in memory", można buforować partiami i stosować różne metody wyszukiwania informacji proste do implementacji jak metoda Doyla, Saltona itd.

Co do tematu, taki antymalware jest bardzo statyczny więc nie podoba mi się, teraz wszystko idzie w stronę AI (algorytmy uczące).
Odpowiedz
#11
Katana1

To wszystko zależy jak zaprojektujeszbazę danych. Na początku możesz wyszukiwać liniowo przez hasz czy nazwę indeksu przez hasz. Następnie szukaj wąskiego gardła i optymalizacji.


Z wiedzy empirycznej wiem jak mój współpracownik wpakował kilka milionów haszy z rozmiarem pliku i innymi informacjami na dysk twardy taki antywirus zajmował wtedy 1 czy 2 giga ramu.
Poza tym nie wiem jak chcesz przechować bez chmury np. 500 milionów haszy? (białe listy niektórych producentów mają o wiele więcej). Kto będzie ściągał Tobie taki program na dysk twardy, o wadzę kilku, kilkunastu gigabajtów?
W dzisiejszych czasach wiele antywirusów dodaję głównie hasze (polecam przyjrzeć się szczególnie chińskim AV), gdyż nie wyrabiają się z analizą.
Odpowiedz
#12
Tak z ciekawości zapytam autora tematu, fajnie że coś tworzysz ale... po co Tworzyć koło na nowo? Czy rozwiązanie Twoje dorówna tworzonym przez całe grupy projektowe? Nie wydaje mi się. Jest jeszcze tyle do odkrycia... nie koło.
Odpowiedz
#13
Chomikos widzę że wziąłeś się za pisanie system hashera Cool
Zrób coś lepszego i napisz program do wytwarzania logów systemowych coś typu OTL/FRST.
Odpowiedz
#14
katana1 napisał(a):Tak z ciekawości zapytam autora tematu, fajnie że coś tworzysz ale... po co Tworzyć koło na nowo? Czy rozwiązanie Twoje dorówna tworzonym przez całe grupy projektowe? Nie wydaje mi się. Jest jeszcze tyle do odkrycia... nie koło.

Tworze to też, by się podszkolić i sprawdzić swoje umiejętności. Tymczasowo jestem jeszcze dosyć słabym graczem, ale może w przyszłości coś się zmieni Wink

Conor29134 napisał(a):Chomikos widzę że wziąłeś się za pisanie system hashera Cool
Zrób coś lepszego i napisz program do wytwarzania logów systemowych coś typu OTL/FRST.

Wiesz, ciekawa idea. Bardzo ciekawa...
0x DEADBEEF
Odpowiedz


Skocz do:


Użytkownicy przeglądający ten wątek: 1 gości