Hallo, ich habe eine Frage (mal wieder)
Ich möchte gern wissen, wie ich eine Datei analysieren kann. Mir ist bewusst wie mein einen Trojaner aufspürt und testet, ob es einer ist. Jetzt wenn ich einen Virus habe, z.b. den EICAR-Testvirus wie kann ich den erkennen? Ich möchte kein Antiviren Programm in Autoit schreiben, das ist meiner Meinung nach völlig unmöglich. Aber es muss doch irgendwie eine Möglichkeit geben, zu erfahren ob diese Datei die EICAR Testdatei ist oder nicht. Ich hab da an den MD5 Hash gedacht, aber das kann man ja relativ leicht verfälschen. Habt ihr da eine Idee?
EICAR erkennen
-
- [ offen ]
-
ProblemUser -
3. Mai 2010 um 05:39 -
Geschlossen -
Erledigt
-
-
- Offizieller Beitrag
Wie kommst Du darauf, dass man die MD5-Checksumme leicht fälschen kann?
Wenn Du von dem Testvirus die Checksumme erstellst und dann die MD5 einer entsprechenden Datei damit vergleichst, kannst Du feststellen, ob sie gleich sind oder nicht.
Das ist zwar nicht sonderlich schnell, aber funktioniert. -
Hey.
Also bei mir funkt. das nicht:
[autoit]
[/autoit]
#Include <Crypt.au3>
$md5=_Crypt_HashFile(@ScriptDir&"\eicar.com",$CALG_SHA1); funkt. auch net: $CALG_MD5)
ClipPut($md5)http://www.virustotal.com/buscaHash.html
Und jetzt da im input einfach Strg+V
Dann Search..Aber:
ZitatError:
Please check you had introduced a correct hash and copied every character from the control key.Der Hash stimmt: 0x9AA6D14E10A3FB700F396250F7EDC4FFD154A7E6 [Dies ist der Hash der Eicar.com]
Wer weiß was ich falsch gemacht habe?
-
Kann mir den keina helfen. Ich denk ma so schwer is es och net das zu lösen :D.
thx für antworten -
Mach doch einfach
[autoit]Fileopen
[/autoit]
Filereadund speicher dir einen Teil dieser Datei irgendwo ab, später kannst du dann mit
[autoit]Fileopen
[/autoit]
Fileread
StringInStr
überprüfen, ob es die selbe Datei ist.
nicht vergessen BINÄR einlesen.