J'ai écrit des logiciels antivirus à Python, mais je suis incapable de trouver des signatures de virus. Le logiciel fonctionne en déversant chaque fichier sur le disque dur à HEX, obtenant ainsi la signature hexagonale. Où puis-je obtenir des signatures pour tous les virus connus?
3 Réponses :
Je doute que cette liste existe une telle liste, les entreprises anti-virus consacrent beaucoup de temps / d'argent de leurs bases de données et il semblerait peu probable que l'un d'entre eux libère les données gratuitement.
Aussi, comme la dit Lasse, tous les virus n'ont pas une signature statique. Les "bons" (et je suppose que cela signifie que la majorité des virus de ce siècle) seraient tous auto-mutants.
Ok, merci pour les réponses. Je suis prêt à rédiger le logiciel pour le rendre "bon" et non inutile. Je ne suis tout simplement pas sûr de savoir comment. J'ai besoin que le logiciel soit écrit à Python. Comment allais-je continuer à le faire bien?
@Zachary: Pourquoi voulez-vous écrire un logiciel antivirus? Que voulez-vous faire que vos concurrents (McAfee, Symantec, AVG, Microsoft, etc.) ne vont-ils pas, ni ne vont pas bien?
Je souhaite fournir un logiciel antivirus de première qualité, qui met à jour automatiquement à un prix raisonnable. J'apprends aussi en cours de route.
@Codeka Non, tous les antivirus libèrent cette information. Ils ne sont tout simplement pas sous une forme lisible à aucun autre logiciel. Mais on pourrait certainement inverser l'ingénieur (ignorer la partie juridique).
@Zachary: bonne chance à toi, et j'espère que tu apprends quelque chose. Notez que Microsoft (pour choisir le fournisseur AV que j'utilise) publie un logiciel AV de haute qualité qui se met à jour automatiquement et fréquemment, gratuitement (pour la plupart des SKU Windows). Je ne veux pas vous décourager, mais j'espère que vous comprenez votre marché - c'est saturé et très difficile à développer.
Alors ok. Avez-vous des idées pour un logiciel utile qui n'est pas sur un marché saturé? Je suis ouvert aux idées. J'essaie juste d'utiliser mes compétences pour de bonnes choses.
@jweyrich: bien sûr, ils "libèrent" (sinon, le logiciel ne serait pas capable de travailler) mais vous ne pouvez pas simplement "ignorer" la légalité de l'ingénierie inverse de la base de données, en particulier lorsque vous souhaitez libérer le logiciel que vous développez de cette action.
@Zachary - OK, écrivez un logiciel qui regarde une webcam et traduit les gestes de la main en actions logicielles (casseroles, zooms, mouvements). Vendez-le comme une bibliothèque pour les jeux, les applications de traitement d'images, etc.
Michael Patrots; J'aime cette idée? Pouvez-vous me signaler dans la bonne direction pour cela?
Il y a Clamav , l'anti-virus de GPL Open Source. Vous pouvez lire son code source pour voir comment cela implémente des heuristiques et d'autres choses. Il est écrit en C, cependant.
Vous pouvez également télécharger une base de données de virus aussi. Ils sont libres et mis à jour fréquemment.
Sans voix! Un grand point de départ. +1
Il existe une base de données de signatures malveillantes au format CSV
sur comodo.com, vous pouvez les télécharger de leur site
Télécharger la base de données de signature de virus
C'est un fichier assez volumineux (environ 432 Mo) afin de contenir de nombreuses signatures.
Je ne trouve pas de téléchargement en format CSV sur ce site, seulement leur propre format de fichier .cav.
Tous les virus n'ont pas de signatures statiques
Comment puis-je faire une analyse hurlique avec python. C'est ce que je voulais à l'origine faire, mais je ne pouvais trouver aucune aide pour cela. Je pense que c'est un moyen plus fiable de détecter et d'éliminer des virus, des ver, des chevaux de Troie et des logiciels espions.
Pourquoi convertir chaque fichier sur le disque dur en hex? Il ne sert à rien de faire ça. Les signatures de virus sont principalement créées par des entreprises qui écrivent un logiciel antivirus. Vous pouvez utiliser la ou les bases de données de signature à partir d'un fournisseur d'antivirus spécifique, mais il n'y a pas de point (en plus d'apprendre) par écrit un nouvel antivirus qui ne vérifie que les mêmes signatures autres. En plus de cela, les «meilleurs» virus / vers sont mis à jour fréquemment (parfois plus d'une fois par jour), ce qui rend les signatures presque inutiles. Pour cela (et code polymorphe), vous pouvez utiliser une analyse hurlique. PS: Désolé, je devais mettre à jour mon commentaire.
Jweyrich: Vous avez une idée de la façon de faire cela? Je suis un programmeur Python, mais c'est à ce sujet.
@Zachary Oui, j'ai une excellente compréhension des techniques antivirus, mais je dois dire que c'est un très long sujet et je suis incapable d'expliquer / détailler-le dans quelques phrases. Cela nécessite également une excellente compréhension des formats de fichiers exécutables, des internaux du système, etc.
Capable de me diriger dans la bonne direction? Je suivrai des tutoriels, lire des livres, etc.
@Zachary, je suggère d'abord d'étudier la manière dont les virus / worms fonctionnent. Passez beaucoup de temps à inverser les ingénieurs. - comment ils se cachent; - comment ils se propagent; - comment ils manipulent le trafic réseau; - comment ils manipulent les syscalls; - comment ils injectent / infectent d'autres processus; - comment ils font l'escalade des privilèges; - Et la liste ne se termine pas ici. Une fois que vous savez tout cela, vous vous décidez comment écrire un logiciel antivirus "commun" et pourquoi les logiciels AV actuels sont inutiles dans de nombreux cas. Remarque: ce n'est pas mon intention de décourager l'utilisation, ni votre étude, mais ce sera un long voyage.
Il semble que ce soit beaucoup plus rapide de convertir les codes hexadiciels en binaire une fois, quand ils sont ingérées pour la première fois, puis recherchez les Strings d'octets de vos fichiers de votre disque pour chacune des signatures ... (cordes d'octets en python peut être spécifié en mettant un
B avant la chaîne, par exempleb'hello ' oub' \ x68 \ x65 \ x6c \ x6c \ xf ' , qui sont tous deux équivalents à'hello' en python 2.)