AutoAV - Ein Autoit basiertes Antivirusprogramm!

Hallo,
ich habe (angefangen!) mir ein AV zu erstellen. Das schwerste hierbei sind Signaturen zu finden was aber auch nicht so schwer ist!

Hier mal die EICAR Testdatei Signatur:

526172211A0700CF907300000D00000000000000453E7420902E004400000044000000023CCF51685A8C8F3E1D3009002000000065696361722E636F6D00B00DCA7858354F2150254041505B345C505A58353428505E2937434329377D2445494341522D5354414E444152442D414E544956495255532D544553542D46494C452124482B482AC43D7B00400700 EICAR.rar (EICAR Test Datei in einer RAR)


526172211A0700CF907300000D00000000000000453E7420902E004400000044000000023CCF51685A8C8F3E1D3009002000000065696361722E636F6D00B00DCA78  EICARISTHIER  C43D7B00400700 EICAR.rar (Hier wurde die Signatur entfernt) 


526172211A0700CF907300000D00000000000000 Leer.rar (Eine leere *.Rar Datei)


Die Signatur ist: 58354F2150254041505B345C505A58353428505E2937434329377D2445494341522D5354414E444152442D414E544956495255532D544553542D46494C452124482B482A


Der Sourcecode ist:
X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*

Um weitere Signaturen zu finden benötigt man mehrere Viren (ist ja kein Problem bei Youtube/Google findet man diese Recht schnell in einer VM ausgeführt ist das ganze auch relativ sicher. (Die Generatoren müssen ausgeführt werden der Virus ansich nicht!)

Um ein Virus auszulesen ist empfohlen ein HexEditor zu benutzen oder dieses Script:

Anschließend speichert man diesen Code in einer TXT und erstellt bzw. sucht weitere Viren und vergleicht sie.
Irgendwann hat man einen Abteil der immer gleich ist, evntl. aber auch verändern sich einige Zahlen.
Das ist dann die Signatur.
Diese speichert man anschließend in einer TXT (Ich habs mir mal von ClamAV abgeschaut):
HexCode (Zeichen die sich verändern kommen in eine geschweifte Klammer {}):Virusname:MD5Checksum

Hier mal ein kleines Test Script um EICAR zu erkennen. (Ich habe es noch nicht überprüft was passiert wenn man die Datei packt bzw. Cryptet!)

Hier habe ich den ganzen HexCode gesucht bei 'richtigen' Viren sollte man natürlich nur einen Teil suchen, was die Geschwindigkeit und Treffgenauigkeit erhöht!!

Nun die Frage:
Wer hätte den Lust an diesem Projekt mitzuarbeiten?
Ich könnte stellen:
Webserver + Domain
Scripten
Signaturen finden

Ihr solltet mitbringen:
Lust
Eine VM sollte vorhanden sein (VirtualBox & Ubuntu reicht! (beides Kostenlos!)) (Um Signaturen zu finden)
Verständniss im Scripten mit Autoit (Um evntl. am Script zu arbeiten) evntl. auch PHP/HTML

Das Script wird OpenSource, d.h. jeder kann das Script sehen und kann es bearbeiten

Klar kann man nicht mit den großen Firmen wie avast, Norton, Kaspersky, Avira mit halten, jedoch warum Programmiert trotzdem jeder einen Taschenrechner? Weil jeder einen hat? Nein, weil sie Spaß am Programmieren haben so ist es auch beim AV. Und hier kann man dann auch sagen: Schau mal was ich gemacht hab!

Ist mir klar
Es ist ja so, das man wenigstens bekannte Trojaner hat alà Sub7 & Co. Natürlich aktuellere die ich nicht nennen möchte.
Das vergleichen könnte man auch gut in ein Script packen, Wobei die großen Security Firmen, das alles per Hand machen.

Die MD5 CHecksum bringt es nicht wirklich, jedes neues Build vom Trojaner hat eine andere, ich mach es lieber per Hex und schau mir den ASM Code an, so wie die richtigen AVs das machen. Die MD5 Checksum, lässt zwar auch einige Viren erkennen, aber jedoch sehr unwahrscheinlich.