Je crée un petit AV ...
Dernière réponse : dans Programmation
Boulet007
4 Novembre 2009 12:58:24
Bonjour ![:)]( ":)")
Je programme en C, un peu en C++, en (x)HTML/CSS et en PHP.
J'aimerai programmer un petit AV, alors je me suis renseigné et j'ai trouvé ça:
[...] La signature :
Cette méthode consiste à analyser le disque dur à la recherche de la signature du virus, qui est présente dans la base de données du logiciel, si celui ci est à jour et si il connaît ce virus.La signature est un morceau de code du virus qui permet de l'identifier. Cette méthode est la plus utilisée. [...]
Donc il faut que mon AV est en memoire plein de signatures de virus, et pour cela il faut d'abord que je cherche des virus et que je trouve leur signature. Le PB c que si j'arrive a détecter un fichier infecté par un virus (ca sera deja ca![:D]( ":D")
) comment je trouve ca signature ? Y'aurai pas moyen de piquer les signatures de virus des autres AV (j'ai cherché dans le repertoire de AVG 9 et j'ai rien trouvé ![:pfff:]( ":pfff:")
) ?
Autres chose:
[...]
- L'analyse heuristique :
C'est la méthode la plus puissante car elle permet de détecter d'éventuels virus inconnus par votre antivirus. Elle cherche à détecter la présence d'un virus en analysant le code d'un programme inconnu (en simulant son fonctionnement ). Elle provoque parfois de fausses alertes. [...]
Comment on trouve le code source d'un programme (pour simuler son fonctionnement) si il est déja compilé ?![:(]( ":(")
merci d'avance pour vos reponses !![:)]( ":)")
PS: si vous postez pour dire "allez abandonnes c trop difficile" ca sert a rien ...![:kaola:]( ":kaola:")
Je programme en C, un peu en C++, en (x)HTML/CSS et en PHP.
J'aimerai programmer un petit AV, alors je me suis renseigné et j'ai trouvé ça:
[...] La signature :
Cette méthode consiste à analyser le disque dur à la recherche de la signature du virus, qui est présente dans la base de données du logiciel, si celui ci est à jour et si il connaît ce virus.La signature est un morceau de code du virus qui permet de l'identifier. Cette méthode est la plus utilisée. [...]
Donc il faut que mon AV est en memoire plein de signatures de virus, et pour cela il faut d'abord que je cherche des virus et que je trouve leur signature. Le PB c que si j'arrive a détecter un fichier infecté par un virus (ca sera deja ca
) comment je trouve ca signature ? Y'aurai pas moyen de piquer les signatures de virus des autres AV (j'ai cherché dans le repertoire de AVG 9 et j'ai rien trouvé 
) ?Autres chose:
[...]
- L'analyse heuristique :
C'est la méthode la plus puissante car elle permet de détecter d'éventuels virus inconnus par votre antivirus. Elle cherche à détecter la présence d'un virus en analysant le code d'un programme inconnu (en simulant son fonctionnement ). Elle provoque parfois de fausses alertes. [...]
Comment on trouve le code source d'un programme (pour simuler son fonctionnement) si il est déja compilé ?
merci d'avance pour vos reponses !
PS: si vous postez pour dire "allez abandonnes c trop difficile" ca sert a rien ...
Autres pages sur : cree petit
Mister_M@sk
4 Novembre 2009 13:23:45
Salut,
![:pfff:]( ":pfff:")
) ?
Franchement, je ne te le conseille pas, commence déjà par détecter Eicar dans un fichier txt, ça sera déjà super![:)]( ":)")
Je te conseille de mettre tes définitions dans une DLL, pour pouvoir faire des mises à jours facilement (suffira de changer la dll).
![:(]( ":(")
On analyse ses sources en le désassemblant ou en analysant son code avec un éditeur hexadécimal.
Certaines séquences binaire sont propre à un Malware définis, ou l'emploi d'une bibliothèque ou une fonction louche.
En tout cas, va falloir bosser un petit peu en assembleur![;)]( ";)")
@+
Citation :
Y'aurai pas moyen de piquer les signatures de virus des autres AV (j'ai cherché dans le repertoire de AVG 9 et j'ai rien trouvé ) ? Franchement, je ne te le conseille pas, commence déjà par détecter Eicar dans un fichier txt, ça sera déjà super
Je te conseille de mettre tes définitions dans une DLL, pour pouvoir faire des mises à jours facilement (suffira de changer la dll).
Citation :
Comment on trouve le code source d'un programme (pour simuler son fonctionnement) si il est déja compilé ? On analyse ses sources en le désassemblant ou en analysant son code avec un éditeur hexadécimal.
Certaines séquences binaire sont propre à un Malware définis, ou l'emploi d'une bibliothèque ou une fonction louche.
En tout cas, va falloir bosser un petit peu en assembleur
@+
m
0
l
Boulet007
4 Novembre 2009 13:38:34
Citation :
Mister_M@sk: En tout cas, va falloir bosser un petit peu en assembleurARGh!
Citation :
Mister_M@sk:commence déjà par détecter Eicar dans un fichier txt, ça sera déjà super Mais comment détecter un autre virus ? (par ce que eicar tt le monde sais que c'est un virus de test)
Et comment trouver ca signature ?
Citation :
Mister_M@sk: On analyse ses sources en le désassemblantComment on désassemble un programme ? Comment on traduit assembleur -> C (par ce que j'y connais rien en asm) ?
m
0
l
Contenus similaires
- créé un petit jeu de mime a la vendredi tout est permis - Forum
- Comment mettre sur facebook les video crée avec AVS video editor 4 - Forum
- logiciel pour crée des petit jeu - Forum
- J'aimerais creer mon propre labyrinthe ou petit jeu avec blender - Forum
- Créer un petit jeu en 2D... - Forum
- creer un petit film a partir de photos et de videos - Forum
Mister_M@sk
4 Novembre 2009 13:44:14
Citation :
Mais comment détecter un autre virus ? (par ce que eicar tt le monde sais que c'est un virus de test) Bah, oui, c'est l'intérêt.
Déjà pour créer un programme de détection, il faut des notion en programmation, c'est sûr, mais il faut aussi de grande connaissance en sécurité informatique et de la méthodologie qu'utilise les malware pour se propager & leurs actions.
Comme Malware "simple" à détecter, on a le VBS "Hacked by Godzilla", qui se propage pas clef USB.
Mais bon, je ne connais pas bien le niveau de tes connaissances, et que tu utilises le terme "virus", m"en dit je pense, déjà pas mal ...
Citation :
Comment on désassemble un programme ? Comment on traduit assembleur -> C ? On désassemble avec un désassembleur (Google)
Pour la traduction de code ... C'est une mauvaise idée, tu n'aura rien de lisible, tu peux cherché du coter de "Boomerang" si tu le veux vraiment.
@+
m
0
l
Boulet007
4 Novembre 2009 13:55:33
Citation :
Bah, oui, c'est l'intérêt.Déjà pour créer un programme de détection, il faut des notion en programmation, c'est sûr, mais il faut aussi de grande connaissance en sécurité informatique et de la méthodologie qu'utilise les malware pour se propager & leurs actions.
Comme Malware "simple" à détecter, on a le VBS "Hacked by Godzilla", qui se propage pas clef USB.
tu pourrai repondre a la question "comment on detecte un virus" (comment je trouve un virus et sa signature) svp
m
0
l
Mister_M@sk
4 Novembre 2009 16:53:07
Citation :
tu pourrai repondre a la question "comment on detecte un virus" (comment je trouve un virus et sa signature) svp
La signature, c'est un endroit du code atypique et propre à une famille de Malware, c'est pas quelque chose d'universelle.
Tu dois faire des investigations sur un Malware, trouver ce bout de code atypique, trouvé un moyen de le détecter et ajouter ce bout dans la base de définition.
Citation :
PS: si vous postez pour dire "allez abandonnes c trop difficile" ca sert a rien ...
Ouais, mais faut être aussi un peu réaliste \o/
@+
m
0
l
Il ne faut pas lire que la signature, parce que si quelqu'un ajoute des instructions NOP (qui ne font rien), alors la signature change, mais le programme reste inchangé.
Et il n' a pas que des NOP : enlever les octets 90h (pour NOP) ne suffit pas car il pourrait aussi y avoir des instructions parasites qui ne servent à rien, d'où une analyse des instructions.
Entraine-toi sur un programme qui n'est pas un virus. Tu modifies le programme pour faire en sorte qu'il ne soit pas détecté, et tu modifies ton anti-virus pour le détecter, etc.
Et il n' a pas que des NOP : enlever les octets 90h (pour NOP) ne suffit pas car il pourrait aussi y avoir des instructions parasites qui ne servent à rien, d'où une analyse des instructions.
Entraine-toi sur un programme qui n'est pas un virus. Tu modifies le programme pour faire en sorte qu'il ne soit pas détecté, et tu modifies ton anti-virus pour le détecter, etc.
m
0
l
Contenus similaires
