Делаем свой беспалевный вирустотал сами

Тема в разделе "СТАТЬИ И УРОКИ ПО ВЗЛОМУ И ОБХОДУ ЗАЩИТЫ", создана пользователем X-Shar, 18 май 2014.

↑ ↓
  1. X-Shar :)
    X-Shar
    Ответить в чате

    Администрация

    Регистрация:
    03.06.2012
    Сообщения:
    5.812
    Симпатии:
    432
    Пол:
    Мужской
    Репа:
    +966 / 152 / -29
    Jabber:
    Skype:
    ICQ:

    638294628

    Всем привет, шёл-шёл-шёл и нашёл, что хотел-то, ах-да, на hpc.name нарвался на прикольную статью от уважаемого M@ZAX@KEP (https://hpc.name/thread/18891/p1.html)

    Там у них ролик почему-то битый в архиве, пришлось восстановить и залить, но об этом позже, сейчас сама статья:

    Наверняка многим из нас хоть раз (а может и больше) приходилось пользоваться сервисами онлайн-проверки файлов, наподобие вирустотал или novirusthanks. При чём я имею ввиду не те случаи, когда вы анализировали подозрительный файл, а когда вам нужно было протестировать свой криптор или вирус, дабы узнать, какими антивирусами они палятся.

    Минус подобных проверок очевиден – нет никакой гарантии, что файл не будет слит на проверку антивирусным компаниям и что ваш новый софт так и останется незасвеченным. Все знают, что вирустотал сливает все файлы, а на novirusthanks.org вроде как есть галочка «не распространять»… но кому какое дело, это всё равно ничего не гарантирует! Увы. Если говорить о плюсах подобных систем, то это, пожалуй лучший способ проверить софт сразу пачкой антивирусов и узнать личное мнение каждого из них.

    Кстати, вы любите убивать зайцев? А сразу двух? xD Сейчас этим и займёмся: нашаманим систему проверки файлов несколькими антивирусами, естественно, не сливающую никакой инфы антивирусным компаниям.

    Итак, понеслась!…

    Подготовка рабочей среды для нашей системы:

    Думаю, не разумно грузить на свою машину сразу несколько антивирусов, зачем так насиловать систему? Ставить будем на виртуалку. Посему качаем и устанавливаем виртуалку, которая вам роднее, а я буду всё делать на VirtualBox.

    Ставим на нашу виртуальную машину любую никсовую систему, в обязательном порядке настраиваем на виртуалке инет, ибо как потом сигнатуры обновлять?

    Почему именно Linux? Да потому, что виндоуз разрабатывалась с ориентацией на графический интерфейс, а в никсе всё наоборот... GUI прифигачен поверх операционки для удобоваримости. Для нас это означает возможность работать через командную строку со всеми приложениями и антивирусами. В масдае подобного не наблюдалось и в ходе тщетных экспериментов получилась система всего с 4 антивирусами... не серьёзно.

    Итак, линух поставили, инет настроили. Всё работает? Зашибись, теперь нужно скачать антивиры. Начнём со скромного набора из 8 антивирей, просто чтобы понять суть моей задумки и принцип организации системы. При желнии набор антивирусников можно будет в дальнейшем расширить.

    Прямых линков на закачку не даю, ибо я хз какой дистриб вы поставите. =) Так что выбираем и качаем антивири каждый под свою систему. Лично у меня Ubuntu 10.04 x64.
    Код:
    Avast       http://www.avast.com/linux-home-edition#tab4
     
    AVG                    http://free.avg.com/gb-en/download.prd-afl
     
    Avira AntiVir    http://www4.avira.com/en/download/download_finish.php?survey=6&mod=1&step=6
     
    BitDefender    http://www.bitdefender.com/world/Downloads/browseEvaluationVersion/2 (выбираем BitDefender Antivirus Scanner for Unices)
     
    Dr.Web            http://download.drweb.com/linux/
     
    F-PROT6         http://files.f-prot.com/files/unix-trial/fp-Linux-i686-ws.tar.gz
     
    Kaspersky       http://www.kaspersky.ru/work_space_security_trial
     
    NOD32            http://beta.eset.com/linux/
    Ока качается, сделайте бутерброд, без него дальше никак!

    Просто инсталляция стольких программ – не самый быстрый и увлекательный процесс. =) После того, как все авири будут установлены, можно начинать в них ковыряться, дабы уменьшить производимую ими нагрузку на систему: отключаем всякие «проверки в реальном времени», слежение за системой, обнаружения руткитов и прочую ненужную в нашем случае ересь.

    А лучше вообще убрать их из автозапуска (в моём наборе туда садятся только nod32 и dr.web). Ещё раз повторюсь, что нам нужен только сканер, всё остальное можно смело вырубать. В т.ч. различные запланированные проверки, проверки памяти при запуске и т.п.

    Всё отрубили? Должно немного полегчать… чувствуете облегчение? Нет? Значит у вас слишком мощный комп. xD

    Создание системы сканирования и отчётов:

    После того, как всё было установлено и настроено, приступим к более глубокому ковырянию наших авирей, а именно – их консольного интерфейса. Суть этой затеи состоит в том, чтобы написать скрипт, который будет отдавать антивирусам команды на сканирование файла и записи отчётов в логи, а затем соберёт все отчёты в более читабельный вид.

    Надеюсь, идея ясна, с этого момента можно начинать смотреть видео, а всё нижеследующее будет просто своеобразной памяткой к нему:



    Весь процесс можно описать в 3 шага:
    • разобрать, как юзать авир через терминал
    • составить команду, проверяющую файл и записывающую отчёт в файл лога
    • составить команду для обновления антивирусных баз
    Все составленные команды поочерёдно записываем в файлик, кроме команд обновления. Их разумнее использовать в отдельном файле.

    Список моих команд для сканирования получился таким:

    Код:
    echo "If you want to update your AV-signatures, please run the 'update' script."
     
    sudo rm ~/logz/kav
     
    sudo 
    /opt/kaspersky/kav4ws/bin/kav4ws-kavscanner -i0 -o~/logz/kav /home/mx/123
     
    rm 
    ~/logz/drweb
     
    drweb 
    -path=~/123 -ini=~x/drweb32.ini
     
    /opt/eset/esets/sbin/esets_scan ~/123 -~/logz/nod32 --log-rewrite --clean-mode=none
     
    avgscan 
    --report=~/logz/avg /home/mx/123
     
    rm 
    ~/logz/bit-defender
     
    bdscan 
    --log=~/logz/bit-defender --action=ignore ~/123
     
    fpscan 
    --output=~/logz/f-prot ~/123 -r
     
    rm 
    ~/logz/avast
     
    avast 
    --report=*~/logz/avast ~/123 --continue=2
     
    avscan 
    -r1 -rf=~/logz/avira  ~/123 --alert-action=none
     
    gedit 
    ~/logz/*
    Обратите внимание, что каждый антивирус помещает свой отчёт в отдельный файл. Некоторые антивирусы не перезаписывают файл лога, а продолжают запись в его конец. В этом случае мы удаляем старый файл перед сканированием, чтобы было больше порядка в логах. Последняя строка кода открывает все файлы из папки логов в текстовом редакторе gedit. Если в вашем дистре другой редактор по умолчанию, можете попробовать провернуть ту же байду через него, если не получится, сделаете sudo apt-get install gedit

    Вот скрипт для обновления антивирусных сигнатур:

    Код:
    echo "Обновляем сигнатуры... времени уйдёт немало, можете пока покурить...
     
    Кстати, для Nod32 придётся тыкнуть 'обновить' ручками =)"
     
    sudo /opt/kaspersky/kav4ws/bin/kav4ws-keepup2date
     
    sudo 
    /usr/lib/AntiVir/guard/avupdate-guard --product=scanner
     
    '/opt/drweb/scripts/drweb-cc/update.sh'
     
    '/your/path/to/f-prot/fpupdate'
     
    avast-update
     
    sudo avgupdate
     
    sudo bdscan 
    --update
    При добавлении новых антивирусов в вашу коллекцию, не забудьте добавить в скрипты ещё одну строку того же вида, что и все остальные. Думаю, ничего сложного в такой работе по шаблону не будет, принцип я показал на примере аж 8 АВеров =).

    Вот, собственно, и всё! Теперь у нас есть собственный сервис проверки файлов несколькими антивирусами, не отсылающий файлы антивирусным компаниям, не требующий постоянного наличия инета (ну мало ли что), да ещё и работающий быстрее онлайн-сервисов (закачивать файл и ждать в очереди на проверку-то не надо)!

    Осталось только решить проблему с ключиками для некоторых антивирусов… хотя найти их не так уж и сложно, было бы желание. А ещё можно переустанавливать их сколько влезет вместе со всей виртуалкой, если не влом, конечно… xD ну или как вариант можно переводить часы на основной машине перед запуском виртуалки (сам не пробовал, но по логике должно работать ).

    Не палите свои вирусы. Удачного анализа!
     
    • Мне нравится Мне нравится x 8
  2. X-Shar :)
    X-Shar
    Ответить в чате

    Администрация

    Регистрация:
    03.06.2012
    Сообщения:
    5.812
    Симпатии:
    432
    Пол:
    Мужской
    Репа:
    +966 / 152 / -29
    Jabber:
    Skype:
    ICQ:

    638294628

    Хочу добавить, чуть не забыл:

    Как всё настроите, сделайте "Снимок системы" в VirtualBox и как закончится триал у АВ просто возвращайте этот снимок, так решите проблемы с ключами !WinkSmile
     
    • Мне нравится Мне нравится x 5
  3. X-Shar :)
    X-Shar
    Ответить в чате

    Администрация

    Регистрация:
    03.06.2012
    Сообщения:
    5.812
    Симпатии:
    432
    Пол:
    Мужской
    Репа:
    +966 / 152 / -29
    Jabber:
    Skype:
    ICQ:

    638294628

    Ещё про статью, ссылки устарели, так-что придётся самим искать билды аверов, и ещё многие вообще прекратили поддерживать Линукс для Десктопов !:rasstroen:

    Я вот, что подумал, а почему-бы не сделать то-же самое для винды ?

    Ведь сканирование папки наверняка можно запускать через батник, можно поразбиратся, обновления наверняка также...

    В общем планирую сделать две сборки и выложить сюда как сделаю:

    1)Виртуальный диск VirtualBox Дебиан, с 8-ю аверами из шапки;

    2)Виртуальный диск VirtualBox хрюши , с этими-же аверами, может даже и больше сделаю + если разберусь с батниками запуска проверки папки с вирусами и обновлялка аверов, тоже батник !

    Почему хрюша ?

    Будет маленький вес диска и её легче всего настроить + можно будет проверять на запуск...like it

    ВОПРОС КО ВСЕМ, ИНТЕРЕСНА-ЛИ ЭТА БАДЯГА С АВЕРАМИ, МОЖЕТ МНЕ И НЕ СТОИТ НАПРЯГАТЬСЯ, МНЕ ПРОСТО ИНТЕРЕСНО СТАЛО ТАКУЮ ШТУКУ СДЕЛАТЬ !

    НУ И КАКИЕ АВЕРЫ ДОБАВИТЬ В СБОРКУ ХРЮШИ + ЕСЛИ ЗНАЕТЕ КОМАНДЫ БАТНИКА ЗАПУСКА СКАНИРОВАНИЯ И ОБНОВЛЕНИЯ ВЫКЛАДЫВАЙТЕ СЮДА В ТЕМУ !
     
    • Мне нравится Мне нравится x 4
  4. Антоха Администратор
    Антоха
    Ответить в чате

    Администрация

    Регистрация:
    26.12.2012
    Сообщения:
    3.180
    Симпатии:
    11.094
    Пол:
    Мужской
    Репа:
    +11.242 / 47 / -6
    Jabber:
    Skype:
    В том то и дело,что интересна она лишь процессом создания такого "домашнего ВТ".Чтобы самому попробовать сделать,а не когда дядя за тебя собрал.Хотя может я ошибаюсь и каким-нибудь вирусописателям она будет полезна.
     
    • Мне нравится Мне нравится x 2
  5. X-Shar :)
    X-Shar
    Ответить в чате

    Администрация

    Регистрация:
    03.06.2012
    Сообщения:
    5.812
    Симпатии:
    432
    Пол:
    Мужской
    Репа:
    +966 / 152 / -29
    Jabber:
    Skype:
    ICQ:

    638294628

    Вирусописателям точно будет, но может уже готовое есть ?

    Те сервисы которые есть, нужно смотреть как они построены, если как описано в статье, т.е. аверы установлены на сервак и уже там проверяют, то да это анонимно и вирусы МОГУТ не отправлять в лабы, а если используют API аверов, т.е. онлайн проверка и т.д., то такие сервисы тоже сливают вирусы...

    Может ещё тестерам интересно будет...
     
    • Мне нравится Мне нравится x 2
  6. Nedovirus Уважаемый пользователь
    Nedovirus
    Ответить в чате

    Форумчанин

    Регистрация:
    14.05.2014
    Сообщения:
    478
    Симпатии:
    821
    Пол:
    Мужской
    Репа:
    +845 / 14 / -5
    У вирусописателей есть онлайн-сервисы, который просто не расшаривают сэмплы для вендоров. Некоторые такие сервисы платные (у них богатый выбор апи, мультискан и т.д) и бесплатные (ограничения на количество скана, без апи и т.д).

    Про подобный вирустотал под винду: все точно также - нужно достать консольные виндовые версии разных аверов и запускать их с параметрами командной строки при проверке файла, потом парсить их логи и выводить это в удобочитаемом виде.
    Реализация всего этого дело техники и времени, а проблем всего две:
    1. Консолей аверов под винду совсем немного в паблике
    2. Должен быть скрипт обновлений антивирусов, т.к без него полезность этого комплекса стремится к нулю, а с обновами не всегда все просто

    Короче проще юзать для хороших дел вирустотал, а хакерам сервисы, о которых я сказал выше, чем городить этот вот огород...
     
    • Мне нравится Мне нравится x 3
  7. X-Shar :)
    X-Shar
    Ответить в чате

    Администрация

    Регистрация:
    03.06.2012
    Сообщения:
    5.812
    Симпатии:
    432
    Пол:
    Мужской
    Репа:
    +966 / 152 / -29
    Jabber:
    Skype:
    ICQ:

    638294628

    Ещё способ:

    1)Ставите на VirtualBox чистую систему, настраиваете как нужно, важно настроить сетевой диск между основной и виртуальной системой, этот сетевой диск можно сделать только для чтения для гостевой системы, туда мы и будем ложить вирусы для теста !WinkSmile

    2)Далее делаете снимок этой системы, называем например "Чистая система";

    3)Как сделали ставите нужный авер, обновляете, активируете его;

    4)Как всё сделали делаете снимок, называете снимок, например KIS;

    5)Далее откатываетесь в снимок "Чистая система";

    6)Далее повторяем пункт 3 и так сколь угодно раз, сколько нужно установить аверов !

    Далее переключение между снимками 5-ть секунд, вот как у меня:

    Test.

    Можно даже на запуск тестить !My mind
     
    • Мне нравится Мне нравится x 5
  8. X-Shar :)
    X-Shar
    Ответить в чате

    Администрация

    Регистрация:
    03.06.2012
    Сообщения:
    5.812
    Симпатии:
    432
    Пол:
    Мужской
    Репа:
    +966 / 152 / -29
    Jabber:
    Skype:
    ICQ:

    638294628

    Подготовил видяшку, что-бы понятнее было:



    Сильно не пинайте, это одна из моих первых видяшек, может кто посоветует нормальную прогу для этих целей, что-бы и звук можно-было записывать тоже, типо музыку там и т.д.

    А-то без звука неинтересно смотреть !NO-no!!!
     
    • Мне нравится Мне нравится x 4
  9. NIN@ Уважаемый пользователь
    NIN@
    Ответить в чате

    Форумчанин

    Регистрация:
    26.03.2014
    Сообщения:
    434
    Симпатии:
    1.354
    Пол:
    Женский
    Репа:
    +1.367 / 4 / -0
    Автор этого канала пишет программой Bandicam, а монтирует в Adobe Premiere и Adobe After Effects. Лично мне, как зрителю, нравится качество и конечный результат.
     
    • Мне нравится Мне нравится x 5
  10. Антоха Администратор
    Антоха
    Ответить в чате

    Администрация

    Регистрация:
    26.12.2012
    Сообщения:
    3.180
    Симпатии:
    11.094
    Пол:
    Мужской
    Репа:
    +11.242 / 47 / -6
    Jabber:
    Skype:
    Предыстория,для тех кто не хочет читать с самого начала.На Факаве Мультик выдвинул версию о сливе данных с их сканера антивирусом Qihoo 360 Total Security.Решили они провести эксперимент.Что из этого вышло.
    Кихо отключен на сканере за слив)Ссылка на тему.
     
    • Мне нравится Мне нравится x 3

Поделиться этой страницей