AAV (Autoit Anti Virus)

  • Hallo Community!

    Da zurzeit kein AV-Programm .au3 Dateien erkennt, bastel ich mir selbst eines.

    [Blockierte Grafik: http://www.dark-labs.de/dt-9130381492712.png]

    Scan
    Funktionsweise:

    • MD5 Hash auslesen und mit SQL Datenbank vergleichen
    • Source untersuchen (da brauch ich noch etwas hilfe :D)
      Todo: Es soll verschiedene Moduse geben (hidden bei on-access/visible bei selbst ausgeführten scan/usb scan)... Scanner muss daher noch etwas angepasst werden



    Hauptprogramm
    Funktionen
    derzeit noch nicht oder nur teilweise umgesetzt

    • Statistik/Übersicht
    • Real-Time Scanner (eigentlich ein On-Access Scanner, Autoit3.exe austauschen und vorher das Skript scannen) mit verschiedenen Stufen + Automatischer USB Scan
    • Scanner (simple verknüpfungen zu scanner.exe)
    • Quarantäne (SQL Datenbank mit infizierten Dateien)
    • Webseiten Blockieren (über Sys32\drivers\etc\hosts umleiten)

    Zusätzlich verfüge ich über einen Webserver + freie Domain

    Tjah is ein riesen Projekt, Grundstruktur is mal geschaffen.
    Wer hat lust mit zu machen?

    mfg.
    Andi

  • Da zurzeit kein AV-Programm .au3 Dateien erkennt, bastel ich mir selbst eines.


    Das stimmt nicht. Mein G-Data fängt immer mal wieder ein AutoIt-Script ab.

    Ansonsten finde ich sieht die Oberfläche noch etwas sehr unübersichtlich aus.

    Viele Grüße,
    Magnus

    PS: Wo hast du die MD5Hash.dll-Datei her?

    Magnus

  • Ich find das iwie super geil.
    Hast du vor, das ding weiterhin in Englisch zu schreiben? Wenn ja, würde ich mich gerne als Übersetzer bereit erklären xD
    Sag mir einfach bescheid.
    Wie gesagt finds toll, auch wenn Magnus ein bischen recht hat. Man müsste das viellleicht echt mal ein bischen übersichtlicher machen, aber ansonsten :thumbup: :thumbup: :thumbup:

  • Magnus
    Mir gehts darum die breite Masse an Viren ab zu fangen ;)
    Die MD5 DLL hab ich irgndwo aus meiner Sammlung, ich denke die is von autoit.de

    @946ben
    Danke :D
    Ja, möchte es ja auch für die internationale Community benutzerfreundlich machen..
    Wäre super, ich weiss noch nich wie ich das Löse... Warscheinlich mach ich mit .INI Dateien die Sprachpakete
    Humm.. das hat noch zeit, muss vorher noch den Scanner zum laufen bringen

  • wenn du willst kann ich das ganze script auf die ini-datein für sprache umstellen.
    Ini ist nämlich mein Lieblings-Bereich xD

    PS: Darf ich die MD5-DLL für eigene Projekte verwenden?

  • Ja wär super, aber bitte zurzeit nur die aav.au3 (scanner muss noch komplett überarbeitet werden)

    Die MD5 Dll is von Deepred
    MD5 Checksum überprüfen

    EDIT:
    beispiel für ne Language Datei, damit sie übersichtlich bleibt :P

  • menü schon fast umgestellt, aber eben noch net übersetzt.
    habe das so gemacht, dass in der lang.ini
    die section en und de ist un darin dann die einzelnen wörter/sätze
    die iniread habe ich dann in variablen gespeichert, die dann überall verwendet können

  • Die MD5 Dll is von Deepred


    In dem Beitrag steht folgendes:

    Inzwischen nutzt man dafür die eingebauten und schnellen Funktionen _Crypt*** von AutoIt direkt :).

    Johannes


    Da ja das Scannen schnell laufen soll, solltest du diesen Tipp vielleicht umsetzten. (Solange er stimmt)

    Viele Grüße
    Magnus

    Magnus

  • Magnus
    Oh... hab ich überlesen ^^
    Danke für den Tip!

    GerhardSchr
    Da er NUR für Autoit Skripte ist, reicht es die Autoit3.exe aus zu tauschen... (CMD Line auslesen scannen, wenn das Skript in ordnung is einfach ausführen mit der richtigen Autoit3.exe)
    ;) Ansonsten wird das Projekt in Autoit nicht mehr umsetzbar... (viel zu große Datenbanken wenn man ALLE Viren erkennen möchte)

    Noch ne Frage an alle
    Der String Scanner funktioniert noch nich...

    [autoit]

    StringRegExp(Stringlower("Regwrite('HKLM\\software\microsoft\windows\currentversion\run'....)"),".*regwrite.*(.*\software\microsoft\windows\currentversion\run.*",0)

    [/autoit]

    Wo liegt der fehler?

  • Zitat

    [Translations]
    Menu_1=Overview
    Menu_2=Anti-Virus
    Tab1_1=Status
    Tab1_2=Statistics

    Und woher weisst Du was ger /engl /nl oder was weiß ich ist?

    [german]
    Menu_1=Übersicht
    Menu_2=Anti-Virus
    Tab1_1=Status
    Tab1_2=Statistik

    [english]
    Menu_1=Overview
    Menu_2=Anti-Virus
    Tab1_1=Status
    Tab1_2=Statistic

    müsste es dan nicht eher so ?

    Achtung Anfänger! :whistling:

    Betrachten des Quellcodes auf eigene Gefahr, bei Übelkeit,Erbrechen,Kopfschmerzen übernehme ich keine Haftung. 8o

  • Normal sollte ein AV alle Dateien scannen.
    Die Virensuche mit MD5 zu checken ist sehr ungeschickt.
    Ein Virus wird IMMER neu compiliert. Somit bekommt man IMMER einen neuen MD5 Hash.
    Es bringt nur etwas, wenn man schauen will ob diese Datei schon bekannt ist.
    Für ein AV brauchst du außerdem viele Viren und gute Kenntnisse in ASM um diese zu verstehen. (Du musst sie Disassemblieren, herausfinden wo der Virus seine eigene Signatur hat und diese Dann mit dem Script zu überprüfen ob diese in irgendeiner Datei enthalten ist.
    Die Datenbank muss nicht groß sein, schau dir mal dieses PDF an zur Signaturen Erstellung für ClamAV: http://www.clamav.net/doc/webinars/W…-2009-03-04.pdf
    Da siehst du wie eine Signatur aufgebaut ist.

    Zur Quarantäne, was hat das mit ner SQL DB zu tun? Verstehe ich nicht.
    Ebenfalls wäre Webseiten Blockierung über die Host Datei auch nicht gerade sinnvoll, hierbei wäre es besser Die TCP/UDP Verbindungen zu überprüfen und das Programm daran hindern sich mit der IP/Website zu verbinden. Denn Ein Virus greift zu 100% nicht auf die hosts Datei zu wenn es sich zu seinem Server verbindet.

  • Denn Ein Virus greift zu 100% nicht auf die hosts Datei zu wenn es sich zu seinem Server verbindet

    Falsch, ich würde mal behaupten 99% aller Vieren nehmen den Weg ins Internet den Windoof sowieso schon bereitstellt. Wozu auch eine eigene Routine schreiben wenn es das ganze doch schon gibt. Es gibt nur realtiv wenige Windows Programme die sich ihren eigenen Weg ins Internet suchen z.B. Firefox,Opera. Also warum sollte sich ein Viren Programmierer die mühe machen machen seinen Virus mit einer meist unnötigen Routine noch zu vergrößern?

  • So ähnlich mach ichs doch auch xD


  • Ich weiss, dass der MD5 sehr umständlich ist jedoch sehr gut geeignet für nicht generierte Viren.
    Wie schon vorher erwähnt mach ich dieses Projekt nur für .au3 Dateien, da es ansonsten zu umständlich werden würde. Nur alleine der aufwand Kerneltreiber zu schreiben ist es nicht Wert ^^

    Nun zur Quarantäne, es gäbe auch viele andere möglichkeiten zb.: RAR-Archiv.
    Ne Quarantäne is im Prinzip ja nur ein Platz wo die Schadsoftware keinen blödsinn mehr machen kann, jedoch der Nutzer noch in der Lage ist diese wieder her zu stellen --> SQL wär da ziemlich schnell und nich so umständlich wie ein RAR archiv.

    Wegen der Webseitenblockierung, die ist eher mehr als eine Art Kindersicherung oder ähnliches gedacht.... wenn man den Zugriff auf IP-Adressen sperren möchte, müsste man meines Wissens nach einen Treiber programmieren und wie gesagt ich habs nich so mit Treiberprogrammierung :P Achja und Viren bauen in der Regel keine Verbindung zu einem anderem Host/Server auf, das sind Trojaner, Würmer, Downloader etc. :D
    Btw: Spybot search & destroy verwendet auch die host Datei, um Phishing Seiten zu sperren.

    @946ben
    Perfekt!
    Danke