• Уменьшение отступа

    Обратная связь

    (info@ru-sfera.pw)

Делаем свой беспалевный вирустотал сами


X-Shar

:)
Администрация
Регистрация
03.06.2012
Сообщения
6 068
Репутация
8 174
Всем привет, шёл-шёл-шёл и нашёл, что хотел-то, ах-да, на hpc.name нарвался на прикольную статью от уважаемого M@ZAX@KEP ( )

Там у них ролик почему-то битый в архиве, пришлось восстановить и залить, но об этом позже, сейчас сама статья:

Наверняка многим из нас хоть раз (а может и больше) приходилось пользоваться сервисами онлайн-проверки файлов, наподобие или . При чём я имею ввиду не те случаи, когда вы анализировали подозрительный файл, а когда вам нужно было протестировать свой криптор или вирус, дабы узнать, какими антивирусами они палятся.

Минус подобных проверок очевиден – нет никакой гарантии, что файл не будет слит на проверку антивирусным компаниям и что ваш новый софт так и останется незасвеченным. Все знают, что вирустотал сливает все файлы, а на novirusthanks.org вроде как есть галочка «не распространять»… но кому какое дело, это всё равно ничего не гарантирует! Увы. Если говорить о плюсах подобных систем, то это, пожалуй лучший способ проверить софт сразу пачкой антивирусов и узнать личное мнение каждого из них.

Кстати, вы любите убивать зайцев? А сразу двух? xD Сейчас этим и займёмся: нашаманим систему проверки файлов несколькими антивирусами, естественно, не сливающую никакой инфы антивирусным компаниям.

Итак, понеслась!…

Подготовка рабочей среды для нашей системы:

Думаю, не разумно грузить на свою машину сразу несколько антивирусов, зачем так насиловать систему? Ставить будем на виртуалку. Посему качаем и устанавливаем виртуалку, которая вам роднее, а я буду всё делать на VirtualBox.

Ставим на нашу виртуальную машину любую никсовую систему, в обязательном порядке настраиваем на виртуалке инет, ибо как потом сигнатуры обновлять?

Почему именно Linux? Да потому, что виндоуз разрабатывалась с ориентацией на графический интерфейс, а в никсе всё наоборот... GUI прифигачен поверх операционки для удобоваримости. Для нас это означает возможность работать через командную строку со всеми приложениями и антивирусами. В масдае подобного не наблюдалось и в ходе тщетных экспериментов получилась система всего с 4 антивирусами... не серьёзно.

Итак, линух поставили, инет настроили. Всё работает? Зашибись, теперь нужно скачать антивиры. Начнём со скромного набора из 8 антивирей, просто чтобы понять суть моей задумки и принцип организации системы. При желнии набор антивирусников можно будет в дальнейшем расширить.

Прямых линков на закачку не даю, ибо я хз какой дистриб вы поставите. =) Так что выбираем и качаем антивири каждый под свою систему. Лично у меня Ubuntu 10.04 x64.
Код:
Avast	   http://www.avast.com/linux-home-edition#tab4
 
AVG					http://free.avg.com/gb-en/download.prd-afl
 
Avira AntiVir	http://www4.avira.com/en/download/download_finish.php?survey=6&mod=1&step=6
 
BitDefender	http://www.bitdefender.com/world/Downloads/browseEvaluationVersion/2 (выбираем BitDefender Antivirus Scanner for Unices)
 
Dr.Web			http://download.drweb.com/linux/
 
F-PROT6		 http://files.f-prot.com/files/unix-trial/fp-Linux-i686-ws.tar.gz
 
Kaspersky	   http://www.kaspersky.ru/work_space_security_trial
 
NOD32			http://beta.eset.com/linux/

Ока качается, сделайте бутерброд, без него дальше никак!

Просто инсталляция стольких программ – не самый быстрый и увлекательный процесс. =) После того, как все авири будут установлены, можно начинать в них ковыряться, дабы уменьшить производимую ими нагрузку на систему: отключаем всякие «проверки в реальном времени», слежение за системой, обнаружения руткитов и прочую ненужную в нашем случае ересь.

А лучше вообще убрать их из автозапуска (в моём наборе туда садятся только nod32 и dr.web). Ещё раз повторюсь, что нам нужен только сканер, всё остальное можно смело вырубать. В т.ч. различные запланированные проверки, проверки памяти при запуске и т.п.

Всё отрубили? Должно немного полегчать… чувствуете облегчение? Нет? Значит у вас слишком мощный комп. xD

Создание системы сканирования и отчётов:

После того, как всё было установлено и настроено, приступим к более глубокому ковырянию наших авирей, а именно – их консольного интерфейса. Суть этой затеи состоит в том, чтобы написать скрипт, который будет отдавать антивирусам команды на сканирование файла и записи отчётов в логи, а затем соберёт все отчёты в более читабельный вид.

Надеюсь, идея ясна, с этого момента можно начинать смотреть видео, а всё нижеследующее будет просто своеобразной памяткой к нему:


Весь процесс можно описать в 3 шага:
  • разобрать, как юзать авир через терминал
  • составить команду, проверяющую файл и записывающую отчёт в файл лога
  • составить команду для обновления антивирусных баз
Все составленные команды поочерёдно записываем в файлик, кроме команд обновления. Их разумнее использовать в отдельном файле.

Список моих команд для сканирования получился таким:

Код:
echo "If you want to update your AV-signatures, please run the 'update' script."
 
sudo rm ~/logz/kav
 
sudo /opt/kaspersky/kav4ws/bin/kav4ws-kavscanner -i0 -o~/logz/kav /home/mx/123
 
rm ~/logz/drweb
 
drweb -path=~/123 -ini=~x/drweb32.ini
 
/opt/eset/esets/sbin/esets_scan ~/123 -f ~/logz/nod32 --log-rewrite --clean-mode=none
 
avgscan --report=~/logz/avg /home/mx/123
 
rm ~/logz/bit-defender
 
bdscan --log=~/logz/bit-defender --action=ignore ~/123
 
fpscan --output=~/logz/f-prot ~/123 -r
 
rm ~/logz/avast
 
avast --report=*~/logz/avast ~/123 --continue=2
 
avscan -r1 -rf=~/logz/avira  ~/123 --alert-action=none
 
gedit ~/logz/*

Обратите внимание, что каждый антивирус помещает свой отчёт в отдельный файл. Некоторые антивирусы не перезаписывают файл лога, а продолжают запись в его конец. В этом случае мы удаляем старый файл перед сканированием, чтобы было больше порядка в логах. Последняя строка кода открывает все файлы из папки логов в текстовом редакторе gedit. Если в вашем дистре другой редактор по умолчанию, можете попробовать провернуть ту же байду через него, если не получится, сделаете sudo apt-get install gedit

Вот скрипт для обновления антивирусных сигнатур:

Код:
echo "Обновляем сигнатуры... времени уйдёт немало, можете пока покурить...
 
Кстати, для Nod32 придётся тыкнуть 'обновить' ручками =)"
 
sudo /opt/kaspersky/kav4ws/bin/kav4ws-keepup2date
 
sudo /usr/lib/AntiVir/guard/avupdate-guard --product=scanner
 
'/opt/drweb/scripts/drweb-cc/update.sh'
 
'/your/path/to/f-prot/fpupdate'
 
avast-update
 
sudo avgupdate
 
sudo bdscan --update

При добавлении новых антивирусов в вашу коллекцию, не забудьте добавить в скрипты ещё одну строку того же вида, что и все остальные. Думаю, ничего сложного в такой работе по шаблону не будет, принцип я показал на примере аж 8 АВеров =).

Вот, собственно, и всё! Теперь у нас есть собственный сервис проверки файлов несколькими антивирусами, не отсылающий файлы антивирусным компаниям, не требующий постоянного наличия инета (ну мало ли что), да ещё и работающий быстрее онлайн-сервисов (закачивать файл и ждать в очереди на проверку-то не надо)!

Осталось только решить проблему с ключиками для некоторых антивирусов… хотя найти их не так уж и сложно, было бы желание. А ещё можно переустанавливать их сколько влезет вместе со всей виртуалкой, если не влом, конечно… xD ну или как вариант можно переводить часы на основной машине перед запуском виртуалки (сам не пробовал, но по логике должно работать ).

Не палите свои вирусы. Удачного анализа!
 

X-Shar

:)
Администрация
Регистрация
03.06.2012
Сообщения
6 068
Репутация
8 174
Осталось только решить проблему с ключиками для некоторых антивирусов…
Хочу добавить, чуть не забыл:

Как всё настроите, сделайте "Снимок системы" в VirtualBox и как закончится триал у АВ просто возвращайте этот снимок, так решите проблемы с ключами !WinkSmile
 

X-Shar

:)
Администрация
Регистрация
03.06.2012
Сообщения
6 068
Репутация
8 174
Ещё про статью, ссылки устарели, так-что придётся самим искать билды аверов, и ещё многие вообще прекратили поддерживать Линукс для Десктопов !:rasstroen:

Я вот, что подумал, а почему-бы не сделать то-же самое для винды ?

Ведь сканирование папки наверняка можно запускать через батник, можно поразбиратся, обновления наверняка также...

В общем планирую сделать две сборки и выложить сюда как сделаю:

1)Виртуальный диск VirtualBox Дебиан, с 8-ю аверами из шапки;

2)Виртуальный диск VirtualBox хрюши , с этими-же аверами, может даже и больше сделаю + если разберусь с батниками запуска проверки папки с вирусами и обновлялка аверов, тоже батник !

Почему хрюша ?

Будет маленький вес диска и её легче всего настроить + можно будет проверять на запуск...like it

ВОПРОС КО ВСЕМ, ИНТЕРЕСНА-ЛИ ЭТА БАДЯГА С АВЕРАМИ, МОЖЕТ МНЕ И НЕ СТОИТ НАПРЯГАТЬСЯ, МНЕ ПРОСТО ИНТЕРЕСНО СТАЛО ТАКУЮ ШТУКУ СДЕЛАТЬ !

НУ И КАКИЕ АВЕРЫ ДОБАВИТЬ В СБОРКУ ХРЮШИ + ЕСЛИ ЗНАЕТЕ КОМАНДЫ БАТНИКА ЗАПУСКА СКАНИРОВАНИЯ И ОБНОВЛЕНИЯ ВЫКЛАДЫВАЙТЕ СЮДА В ТЕМУ !
 

Антоха

Уважаемый пользователь
Форумчанин
Регистрация
26.12.2012
Сообщения
2 780
Репутация
4 652
ВОПРОС КО ВСЕМ, ИНТЕРЕСНА-ЛИ ЭТА БАДЯГА С АВЕРАМИ,
В том то и дело,что интересна она лишь процессом создания такого "домашнего ВТ".Чтобы самому попробовать сделать,а не когда дядя за тебя собрал.Хотя может я ошибаюсь и каким-нибудь вирусописателям она будет полезна.
 

X-Shar

:)
Администрация
Регистрация
03.06.2012
Сообщения
6 068
Репутация
8 174
Хотя может я ошибаюсь и каким-нибудь вирусописателям она будет полезна.
Вирусописателям точно будет, но может уже готовое есть ?

Те сервисы которые есть, нужно смотреть как они построены, если как описано в статье, т.е. аверы установлены на сервак и уже там проверяют, то да это анонимно и вирусы МОГУТ не отправлять в лабы, а если используют API аверов, т.е. онлайн проверка и т.д., то такие сервисы тоже сливают вирусы...

Может ещё тестерам интересно будет...
 

Nedovirus

Уважаемый пользователь
Форумчанин
Регистрация
14.05.2014
Сообщения
399
Репутация
310
У вирусописателей есть онлайн-сервисы, который просто не расшаривают сэмплы для вендоров. Некоторые такие сервисы платные (у них богатый выбор апи, мультискан и т.д) и бесплатные (ограничения на количество скана, без апи и т.д).

Про подобный вирустотал под винду: все точно также - нужно достать консольные виндовые версии разных аверов и запускать их с параметрами командной строки при проверке файла, потом парсить их логи и выводить это в удобочитаемом виде.
Реализация всего этого дело техники и времени, а проблем всего две:
1. Консолей аверов под винду совсем немного в паблике
2. Должен быть скрипт обновлений антивирусов, т.к без него полезность этого комплекса стремится к нулю, а с обновами не всегда все просто

Короче проще юзать для хороших дел вирустотал, а хакерам сервисы, о которых я сказал выше, чем городить этот вот огород...
 

X-Shar

:)
Администрация
Регистрация
03.06.2012
Сообщения
6 068
Репутация
8 174
Ещё способ:

1)Ставите на VirtualBox чистую систему, настраиваете как нужно, важно настроить сетевой диск между основной и виртуальной системой, этот сетевой диск можно сделать только для чтения для гостевой системы, туда мы и будем ложить вирусы для теста !WinkSmile

2)Далее делаете снимок этой системы, называем например "Чистая система";

3)Как сделали ставите нужный авер, обновляете, активируете его;

4)Как всё сделали делаете снимок, называете снимок, например KIS;

5)Далее откатываетесь в снимок "Чистая система";

6)Далее повторяем пункт 3 и так сколь угодно раз, сколько нужно установить аверов !

Далее переключение между снимками 5-ть секунд, вот как у меня:

Test.png


Можно даже на запуск тестить !My mind
 

X-Shar

:)
Администрация
Регистрация
03.06.2012
Сообщения
6 068
Репутация
8 174
Подготовил видяшку, что-бы понятнее было:


Сильно не пинайте, это одна из моих первых видяшек, может кто посоветует нормальную прогу для этих целей, что-бы и звук можно-было записывать тоже, типо музыку там и т.д.

А-то без звука неинтересно смотреть !NO-no!!!
 

NIN@

Уважаемый пользователь
Форумчанин
Регистрация
26.03.2014
Сообщения
345
Репутация
430
Сильно не пинайте, это одна из моих первых видяшек, может кто посоветует нормальную прогу для этих целей, что-бы и звук можно-было записывать тоже, типо музыку там и т.д.

А-то без звука неинтересно смотреть !NO-no!!!

Автор этого пишет программой Bandicam, а монтирует в Adobe Premiere и Adobe After Effects. Лично мне, как зрителю, нравится качество и конечный результат.
 

Антоха

Уважаемый пользователь
Форумчанин
Регистрация
26.12.2012
Сообщения
2 780
Репутация
4 652
Предыстория,для тех кто не хочет читать с самого начала.На Факаве Мультик выдвинул версию о сливе данных с их сканера антивирусом Qihoo 360 Total Security.Решили они провести эксперимент.Что из этого
Кихо отключен на сканере за слив)Ссылка на
 
Верх Низ