1
  1. Этот сайт использует файлы cookie. Продолжая пользоваться данным сайтом, Вы соглашаетесь на использование нами Ваших файлов cookie. Узнать больше.
Приветствуем вас,Гость, на форуме IFUD.WS. Обязательно рекомендуется к прочтению правила форума http://ifud.ws/threads/obnovleno-pravila-foruma.7759

Прирученный «вирустотал» в домашних условиях

Тема в разделе "Чужие", создана пользователем OFF, 30 апр 2014.

  1. TopicStarter Overlay
    usFire

    usFire

    Регистрация:
    20 авг 2012
    Сообщения:
    274
    Симпатии:
    177
    Прирученный «вирустотал»
    в домашних условиях


    Наверняка многим из нас хоть раз (а может и больше) приходилось пользоваться сервисами онлайн-проверки файлов, наподобие Please login or register to view links илиPlease login or register to view links. При чём я имею ввиду не те случаи, когда вы анализировали подозрительный файл, а когда вам нужно было протестировать свой криптор или вирус, дабы узнать, какими антивирусами они палятся. Минус подобных проверок очевиден – нет никакой гарантии, что файл не будет слит на проверку антивирусным компаниям и что ваш новый софт так и останется незасвеченным. Все знают, что вирустотал сливает все файлы, а на novirusthanks.org вроде как есть галочка «не распространять»… но кому какое дело, это всё равно ничего не гарантирует! Увы. Если говорить о плюсах подобных систем, то это, пожалуй лучший способ проверить софт сразу пачкой антивирусов и узнать личное мнение каждого из них. [​IMG] Кстати, вы любите убивать зайцев? А сразу двух? xD Сейчас этим и займёмся: нашаманим систему проверки файлов несколькими антивирусами, естественно, не сливающую никакой инфы антивирусным компаниям.
    Итак, понеслась!…

    Подготовка рабочей среды для нашей системы

    Думаю, не разумно грузить на свою машину сразу несколько антивирусов, зачем так насиловать систему? Ставить будем на виртуалку. Посему качаем и устанавливаем виртуалку, которая вам роднее, а я буду всё делать на VirtualBox.
    Ставим на нашу виртуальную машину любую никсовую систему, в обязательном порядке настраиваем на виртуалке инет, ибо как потом сигнатуры обновлять? [​IMG]
    Почему именно Linux? Да потому, что виндоуз разрабатывалась с ориентацией на графический интерфейс, а в никсе всё наоборот... GUI прифигачен поверх операционки для удобоваримости. Для нас это означает возможность работать через командную строку со всеми приложениями и антивирусами. В масдае подобного не наблюдалось и в ходе тщетных экспериментов получилась система всего с 4 антивирусами... не серьёзно.
    Итак, линух поставили, инет настроили. Всё работает? Зашибись, теперь нужно скачать антивиры. Начнём со скромного набора из 8 антивирей, просто чтобы понять суть моей задумки и принцип организации системы. При желнии набор антивирусников можно будет в дальнейшем расширить.
    Прямых линков на закачку не даю, ибо я хз какой дистриб вы поставите. =) Так что выбираем и качаем антивири каждый под свою систему. Лично у меня Ubuntu 10.04 x64.
    Код:
    Avast        http://www.avast.com/linux-home-edition#tab4
     
    AVG        http://free.avg.com/gb-en/download.prd-afl
     
    Avira AntiVir    http://www4.avira.com/en/download/download_finish.php?survey=6&mod=1&step=6
     
    BitDefender    http://www.bitdefender.com/world/Downloads/browseEvaluationVersion/2 (выбираем BitDefender Antivirus Scanner for Unices)
     
    Dr.Web            http://download.drweb.com/linux/
     
    F-PROT6            http://files.f-prot.com/files/unix-trial/fp-Linux-i686-ws.tar.gz
     
    Kaspersky    http://www.kaspersky.ru/work_space_security_trial
     
    NOD32            http://beta.eset.com/linux/

    Пока качается, сделайте бутерброд, без него дальше никак! [​IMG] Просто инсталляция стольких программ – не самый быстрый и увлекательный процесс. =) После того, как все авири будут установлены, можно начинать в них ковыряться, дабы уменьшить производимую ими нагрузку на систему: отключаем всякие «проверки в реальном времени», слежение за системой, обнаружения руткитов и прочую ненужную в нашем случае ересь. А лучше вообще убрать их из автозапуска (в моём наборе туда садятся только nod32 и dr.web). Ещё раз повторюсь, что нам нужен только сканер, всё остальное можно смело вырубать. В т.ч. различные запланированные проверки, проверки памяти при запуске и т.п. Всё отрубили? Должно немного полегчать… чувствуете облегчение? Нет? Значит у вас слишком мощный комп. xD

    Создание системы сканирования и отчётов


    После того, как всё было установлено и настроено, приступим к более глубокому ковырянию наших авирей, а именно – их консольного интерфейса. Суть этой затеи состоит в том, чтобы написать скрипт, который будет отдавать антивирусам команды на сканирование файла и записи отчётов в логи, а затем соберёт все отчёты в более читабельный вид. Надеюсь, идея ясна, с этого момента можно начинать смотреть видео, а всё нижеследующее будет просто своеобразной памяткой к нему
    . Please login or register to view links







    Весь процесс можно описать в 3 шага:
    • разобрать, как юзать авир через терминал
    • составить команду, проверяющую файл и записывающую отчёт в файл лога
    • составить команду для обновления антивирусных баз
    Все составленные команды поочерёдно записываем в файлик, кроме команд обновления. Их разумнее использовать в отдельном файле.

    Список моих команд для сканирования получился таким:









    Код:
    echo "If you want to update your AV-signatures, please run the 'update' script.
     
     
     
     
     
    "
     
    sudo rm ~/logz/kav
     
    sudo /opt/kaspersky/kav4ws/bin/kav4ws-kavscanner -i0 -o~/logz/kav /home/mx/123
     
    rm ~/logz/drweb
     
    drweb -path=~/123 -ini=~x/drweb32.ini
     
    /opt/eset/esets/sbin/esets_scan ~/123 -f ~/logz/nod32 --log-rewrite --clean-mode=none
     
    avgscan --report=~/logz/avg /home/mx/123
     
    rm ~/logz/bit-defender
     
    bdscan --log=~/logz/bit-defender --action=ignore ~/123
     
    fpscan --output=~/logz/f-prot ~/123 -r
     
    rm ~/logz/avast
     
    avast --report=*~/logz/avast ~/123 --continue=2
     
    avscan -r1 -rf=~/logz/avira  ~/123 --alert-action=none
     
    gedit ~/logz/*
    echo "If you want to update your AV-signatures, please run the 'update' script.


    "
    sudo rm ~/logz/kav
    sudo /opt/kaspersky/kav4ws/bin/kav4ws-kavscanner -i0 -o~/logz/kav /home/mx/123
    rm ~/logz/drweb
    drweb -path=~/123 -ini=~x/drweb32.ini
    /opt/eset/esets/sbin/esets_scan ~/123 -f ~/logz/nod32 --log-rewrite --clean-mode=none
    avgscan --report=~/logz/avg /home/mx/123
    rm ~/logz/bit-defender
    bdscan --log=~/logz/bit-defender --action=ignore ~/123
    fpscan --output=~/logz/f-prot ~/123 -r
    rm ~/logz/avast
    avast --report=*~/logz/avast ~/123 --continue=2
    avscan -r1 -rf=~/logz/avira ~/123 --alert-action=none
    gedit ~/logz/*
    Код:
    echo "Обновляем сигнатуры... времени уйдёт немало, можете пока покурить...
    Кстати, для Nod32 придётся тыкнуть 'обновить' ручками =)
     
     
    "
    sudo /opt/kaspersky/kav4ws/bin/kav4ws-keepup2date
    sudo /usr/lib/AntiVir/guard/avupdate-guard --product=scanner
    '/opt/drweb/scripts/drweb-cc/update.sh'
    '/your/path/to/f-prot/fpupdate'
    avast-update
    sudo avgupdate
    sudo bdscan --update

    При добавлении новых антивирусов в вашу коллекцию, не забудьте добавить в скрипты ещё одну строку того же вида, что и все остальные. Думаю, ничего сложного в такой работе по шаблону не будет, принцип я показал на примере аж 8 АВеров =).
    Вот, собственно, и всё! Теперь у нас есть собственный сервис проверки файлов несколькими антивирусами, не отсылающий файлы антивирусным компаниям, не требующий постоянного наличия инета (ну мало ли что), да ещё и работающий быстрее онлайн-сервисов (закачивать файл и ждать в очереди на проверку-то не надо)!
    Осталось только решить проблему с ключиками для некоторых антивирусов… хотя найти их не так уж и сложно, было бы желание. А ещё можно переустанавливать их сколько влезет вместе со всей виртуалкой, если не влом, конечно… xD ну или как вариант можно переводить часы на основной машине перед запуском виртуалки (сам не пробовал, но по логике должно работать [​IMG] ).
    Не палите свои вирусы. Удачного анализа! [​IMG]
    $ sudo shutdown

    Please login or register to view links
     
    • Like Like x 4
    Метки:
  2. ResH

    ResH Команда форума

    Регистрация:
    26 июл 2012
    Сообщения:
    1.678
    Симпатии:
    2.271
    оформи тему нормально !
     
  3. NANOTECH

    NANOTECH

    Регистрация:
    11 дек 2012
    Сообщения:
    150
    Симпатии:
    69
    некоторые антивирусы ,установленные на компе скрытно отправляют подозрительные файлы на анализ .
     
    • Like Like x 2
  4. K_NoW

    K_NoW HackMe Please

    Регистрация:
    16 мар 2014
    Сообщения:
    464
    Симпатии:
    222
    Я эту тему на хпк пару лет назад видел.
     
  5. Fishred

    Fishred Гость

    а готовый рабочий образ машины никак выложить?
     
  6. nikitoz_tavr

    nikitoz_tavr

    Регистрация:
    16 июл 2012
    Сообщения:
    73
    Симпатии:
    3
    кстати да.. помню мой бэкдор попал на виртуалку после проверки антивирусом..
     

Поделиться этой страницей

Загрузка...