eXeLab
eXeL@B ВИДЕОКУРС !

ВИДЕОКУРС ВЗЛОМ
обновлён 2 декабря!


УЗНАТЬ БОЛЬШЕ >>
Домой | Статьи | RAR-cтатьи | FAQ | Форум | Скачать | Видеокурс
Новичку | Ссылки | Программирование | Интервью | Архив | Связь

Русский / Russian English / Английский

Сейчас на форуме: (+2 невидимых)
 · Начало · Статистика · Регистрация · Поиск · ПРАВИЛА ФОРУМА · Язык · RSS · SVN ·

 eXeL@B —› Оффтоп —› Проверка антивирусом ссылок
Посл.ответ Сообщение

Ранг: 137.9 (ветеран)
Статус: Участник

Создано: 23 мая 2012 13:28 New!
Цитата · Личное сообщение · #1

Всем привет. Есть задача создать площадку для проверки ссылок антивирусами. Понимаю, что это жесткий оффтоп, но задача есть и ее нужно решить. Нашел KIMS и Hackhound Multi-Antivirus scanner, но они сканируют пачкой антивирусов только локальный файл. Как сканировать ссылку, не знаю, консольные версии антивирусов этого не умеют. Мысль только поднять виртуалку на каждый антивирус и проверять, но это сложно по ресурсах.
Есть какие мысли или готовые решения... Спасибо.


Статус: Пришелец

Создано: 23 мая 2012 15:52 New!
Цитата #2

Ставиться куча сканеров, пишется скрипт для их запуска, закачки файла, после проверки, распарсить отчеты и собрать все в один log.

Например у меня, список процессов.
C:\DOCUME~1\Myst\LOCALS~1\Temp\23c1xf62g1.exe
c:\totalcmd\aver\procexp.exe
c:\totalcmd\aver\procmon.exe
c:\totalcmd\aver\tcpview.exe
c:\totalcmd\aver\regmon.exe
c:\totalcmd\aver\filemon.exe
c:\totalcmd\aver\zonealarm.exe
c:\totalcmd\aver\symlcsvc.exe
c:\totalcmd\aver\outpost.exe
c:\totalcmd\aver\nod32m2.exe
c:\totalcmd\aver\nod32kui.exe
c:\totalcmd\aver\nod32krn.exe
c:\totalcmd\aver\nod32cc.exe
c:\totalcmd\aver\navapsvc.exe
c:\totalcmd\aver\kavsvc.exe
c:\totalcmd\aver\kavmm.exe
c:\totalcmd\aver\fsdfwd.exe
c:\totalcmd\aver\fsbwsys.exe
c:\totalcmd\aver\fsav32.exe
c:\totalcmd\aver\cpd.exe
c:\totalcmd\aver\avp.exe
c:\totalcmd\aver\avguard.exe
c:\totalcmd\aver\avgnt.exe
c:\totalcmd\aver\avcenter.exe
c:\totalcmd\aver\SAVScan.exe
c:\totalcmd\aver\Navwnt.exe
c:\totalcmd\aver\Navw32.exe
c:\totalcmd\aver\Navrunr.exe
c:\totalcmd\aver\NISSERV.EXE
c:\totalcmd\aver\KavPFW.exe
c:\totalcmd\aver\Fsgk32.exe
c:\totalcmd\aver\CCenter.exe
c:\totalcmd\aver\Avpupd.exe
c:\totalcmd\aver\Avpm.exe
c:\totalcmd\aver\Avpcc.exe
c:\totalcmd\aver\Avp32.exe

Все на виртуалке, делается несколько прогонов, управление на скриптах, аналогично работает на virustotal.

Ранг: 137.9 (ветеран)
Статус: Участник

Создано: 23 мая 2012 16:35 New!
Цитата · Личное сообщение · #3

F_a_u_s_t
В том то и дело что нужно сканировать не файлы, а сервер в инете. Если просто сохранить страницу, то антивирусы нечего не находят, а с привязкой к серверу - находят.
Кстати в связи с утекшими сырками касперского, нет ли просмоторщика его баз?
Нашел еще интересный проект, но он все равно не умеет сканировать с привязкой к сайту - http://www.opswat.com/metascan/
The Metascan Multiple Antivirus Engine is an API driven, multi-scanning solution that enables IT professionals and software engineers to integrate malware scanning protection into their proprietary solutions using many antivirus engines from vendors like ESET, Kaspersky, Symantec, McAfee, and many others.
_ttp://portal.opswat.com/downloads/Metascan/3.5/Metascan_Ultra_3_5_2_13738.msi
В его составе есть Eset Nod Sdk...


Статус: Пришелец

Создано: 23 мая 2012 17:06 · Поправил: F_a_u_s_t New!
Цитата #4

yanus0
Случайно есть, даже в самом каспере, нужно только собрать, показывает имена засранцев, если немного допилить то и сигнатуру будет показывать.

Так страницу мало просто сохранить, из нее нужно вытащить ссылки, файлы же по ссылкам, а там уже по глубине рекурсии сканировать, а с самого сервера не получится ибо аверов там нет.
Если самому лень пилить, то virustotal умеет сканировать ссылки, можно тупо написать скрипт и через него пользовать сервис, а парсером забирать результат. Имхо самый простой вариант.

Add:
Собрал для тебя, кидай в папку с базами, показывает имена зверьков и названия пакеров.



{ Атач доступен только для участников форума } - AvpVList.rar

| Сообщение посчитали полезным: yanus0


Ранг: 137.9 (ветеран)
Статус: Участник

Создано: 23 мая 2012 18:18 New!
Цитата · Личное сообщение · #5

F_a_u_s_t
вирустотал не подходит, нужно контролировать полностью процесс. За программу спасибо.


Статус: Пришелец

Создано: 23 мая 2012 19:09 · Поправил: F_a_u_s_t New!
Цитата #6

yanus0 пишет:
нужно контролировать полностью процесс

Тогда делай по выше описанной схеме, виртуалка, аверы, парсер, рекурсия ибо по другому контроля не добиться.
Песочницы есть готовые, парсеры тоже, твоя задача, собрать все в кучу.
Add:
Для примера, посмотри работу веб чекера dr web, там выводится список проверенных файлов, открой страницу и сам поищи те ссылки и поймешь суть работы, ничего там сложного нет.
 eXeL@B —› Оффтоп —› Проверка антивирусом ссылок

У вас должно быть 20 пунктов ранга, чтобы оставлять сообщения в этом подфоруме, но у вас только 0


Оригинальный DVD-ROM: eXeL@B DVD !

Вы находитесь на форуме сайта EXELAB.RU
Проект ReactOS