PDA

Просмотр полной версии : x-Core AV



BlackCash
06.01.2009, 09:05
Доброго времени суток!

Вот решил создать сигнатурный чекер (Антивирусный сканер) под коммандную строку Windows. Хотелось бы услышать отзывы рекоммендации и критику.
Встроена проверка RAR и ZIP архивов. Имеется возможность самому добавлять сигнутуры вирусов в базу.
К сожалению антивирусной базы не прилагаю, т.к. небыло времени соорудить ее да к тому же одному создавать антивирусную базу долго...

http://blackcashsoft.by.ru/Setup_x-CoreAV(0.1.4).exe

zerocorporated
06.01.2009, 14:29
Хотелось бы услышать отзывы рекоммендации и критику.


На этом сайте уже 2 программы такого рода пытались умельцы создать - в итоге пустая трата времени...

Минусы:
1.Базы в актуальном состоянии никак не удастся поддерживать.
2.Выгоды никакой, так как базы антивирусов обладают большим количеством записей.
3.Забываете про пакеры/протекторы, которыми часто упаковывают зловредов.
4.Руткит/буткит технологии сейчас очень сильно распространены, против них одиночный сигнатурный поиск малоэффективен.

Andrey
06.01.2009, 20:00
А что стало с предыдущем Вашим проектом BILIRAFON-AV (http://www.anti-malware.ru/forum/index.php?showtopic=2999)?
Накрылся медным тазом?!
Впрочем дерзайте!

BlackCash
07.01.2009, 08:54
Да конечно же есть минусы, нет поддержки пакеров и антируткит технологий, хотя скрытые процессы в UserMode увидеть можно, да с базами тоже заморочка, да возможно еще много предстоит сделать...

Но все же есть и свои плюсы, основным я считаю это возможность создавать свою БД с вирусами, предположим мой Нод32 не увидел вирус на флеш, обидно, мы отсылаем вирус в антивирусные лаборатории и ждем када же его добавят в БД... Хотя помимо этого можно добавить этот вирус в свою базу и просканировать систему, согласитесь лишним не будет и мой взгляд это очень удобно. Причем база это не просто банальные Мд5 сигнатуры, это еще и ХЕКС сигнатуры с поиском по всему файлу, от точки входа, от позиции, от начала секции... (в доке все написано). Также достигнута достаточно неплохая скорость поиска ХЕКС по всему файлу (это не 10 мин ждать пока в 5 метровом файле 500 ХЕКС сигнатур ищутся... Я такое встречал очень часто =) ). Также достаточное кол-во опций удаление инфицированных, перемещение, копирование, отчеты, загрузка баз как по выбору из опред директории или можно загрузить определенную базу (например загрузить свою БД с малварами и удалить все наиденные из директории C:\Downloads\ )... я мало встречал таких проектов... Хотя вам виднее )))

На счет проекта BILIRAFON, я в его создании никакого участия не принимал...

drongo
07.01.2009, 10:47
А почему бы не заменить ваш нод32 на антивирус с вирлабом, в котором ответ будет более быстрым :)Тогда ваш аргумент потеряет смысл.

Andrey
07.01.2009, 11:07
На счет проекта BILIRAFON, я в его создании никакого участия не принимал...

Возможно, я ошибся (смутила подпись файла xCoreScan.exe -> BlackCash (stopvirus.ru). По данному адресу располагался проект BILIRAFON-AV).
Да и автор также жаловался на NOD32.

[KORN]
07.01.2009, 11:09
естесственно что до таких брендов как касперский, нод и т.д. еще далеко... но допустим до уровня AVZ можно дотянуть... просто нужно сидеть и работать... хотя бы в системном программировании себя прокачать можно...

BlackCash
07.01.2009, 11:32
Я на НОД32 не жалуюсь, меня почти все устраивает... просто пример привел, можно было с тем же успехом и про Аваст пимер привести...

А про замену антивируса с вирлабом могу сказать следующее, большинство антивирусов требуют установки и вес у них достаточно большой, например на флешке не потаскаешь просто так... x-Core в свою очередь не нуждается в установке и все про все кроме баз весит 320кб...

zerocorporated
07.01.2009, 12:44
Но все же есть и свои плюсы, основным я считаю это возможность создавать свою БД с вирусами, предположим мой Нод32 не увидел вирус на флеш, обидно, мы отсылаем вирус в антивирусные лаборатории и ждем када же его добавят в БД... Хотя помимо этого можно добавить этот вирус в свою базу и просканировать систему, согласитесь лишним не будет и мой взгляд это очень удобно. Причем база это не просто банальные Мд5 сигнатуры, это еще и ХЕКС сигнатуры с поиском по всему файлу, от точки входа, от позиции, от начала секции... (в доке все написано). Также достигнута достаточно неплохая скорость поиска ХЕКС по всему файлу (это не 10 мин ждать пока в 5 метровом файле 500 ХЕКС сигнатур ищутся... Я такое встречал очень часто =) ). Также достаточное кол-во опций удаление инфицированных, перемещение, копирование, отчеты, загрузка баз как по выбору из опред директории или можно загрузить определенную базу (например загрузить свою БД с малварами и удалить все наиденные из директории C:\Downloads\ )... я мало встречал таких проектов... Хотя вам виднее )))


Тема первая (http://virusinfo.info/showthread.php?t=20664)
Тема вторая (http://virusinfo.info/showthread.php?t=10810)
Почитайте эти темы.

По поводу того чтоб защитить свой ПК:
Базовая концепция системы безопасности ОС Windows семейства NT (http://forum.freesoft.ru/index.php?showtopic=1274)
Безопасный Интернет. Универсальная защита для Windows ME - Vista (http://security-advisory.virusinfo.info/)
Борьба с автозапуском новыми методами (http://virusinfo.info/showthread.php?t=20291)
Windows Worms Doors Cleaner (http://www.firewallleaktester.com/wwdc.htm)

По поводу лечения ПК:
AVPTool (http://devbuilds.kaspersky-labs.com/devbuilds/AVPTool/)
Dr.Web CureIt! (http://www.freedrweb.com/cureit/?lng=ru)
HijackThis (http://www.trendsecure.com/portal/en-US/tools/security_tools/hijackthis)
AutoRuns (http://technet.microsoft.com/en-us/sysinternals/bb963902.aspx)
AVZ (http://www.z-oleg.com/secur/avz/)
GMER (http://www.gmer.net/index.php)
IceSword (http://www.antirootkit.com/software/IceSword.htm)
RootKit Unhooker (http://www.antirootkit.com/software/RootKit-Unhooker.htm)

Загрузочные диски:
Kaspersky Rescue Disk (http://dnl-eu2.kaspersky-labs.com/devbuilds/RescueDisk/)
Dr.Web LiveCD (http://www.freedrweb.com/livecd/?lng=ru)

Используя все, что я перечислил можно в 99% случаев избежать заражения + в 95% случае вылечить ПК от заразы.

Добавляя сигнатуру вредоноса в свою антивирусную базу, вы помогаете его устранить небольшой группе людей (меньше 100 человек), а если эта база антивируса, то огромной группе людей (несколько миллионов).

ice-berg
07.01.2009, 16:31
привет :) с Новым годом всех!

Да, Билирафон был мой проект, но он умер уже давно-давно.
X-Core мы делаем вместе, вся информация о проекте скоро будет на stopvirus.ru.
Есть так же не только консольная версия, но и полностью рабочая с интерфейсом и базами.
http://stopvirus.ru/xcore.exe
X-Core еще далек от совершенства, поэтому смысла нет его пока афишировать. :-)

anton_dr
07.01.2009, 17:28
ice-berg, странно. BlackCash предоставил мне немного отличную от Вашей информацию.
Пожалуйста, выясните между собой кто что делает и выдайте нам правдивую информацию.

ice-berg
07.01.2009, 18:21
BlachCash предоставил верную инормацию.
Просто вышли некоторые разногласия по части даты выхода проекта и восстановления активности сайта www.stopvirus.ru (http://www.stopvirus.ru), который под моим руководством будет отвечать за поддержку работы X-Core.
Плюс обновления для антивирусных баз. :smile:

anton_dr
07.01.2009, 20:04
Отлично. Тогда вопрос.
Раз вы взялись за этот продукт - в чём его преимущество перед двумя, показанными по ссылкам выше? http://virusinfo.info/showpost.php?p=330042&postcount=9
И, не только перед ними. Что может меня заставить воспользоваться им? Какие "фишки", недоступные в других продуктах есть у вас? Какова ЦА для вашего продукта?

priv8v
07.01.2009, 21:28
раз уж кто-то сравнил с АВЗ - давайте тогда отбросим все функции АВЗ, оставив лишь сигнатурный сканер...
тогда нужно уяснить следующее:
1). Сколько новых малваре в день попадает в руки в разработчикам х-соре, а сколько к Олегу. Разница, думаю, будет в десятки раз...
2). У кого и как хорошо проработана системе детектирования.
3). Как будет обновляться х-соре.
4). Будет ли от х-соре реальная помощь в поиске малваре на компе. (т.к он позиционируется, вроде, как - скинул на флеху - пришел, просканировал, удалил малваре). Тут возможна защита лишь от супер-распространенных малваре, но при этом страшно примитивных - такое редкость.

Или просто хочется иметь свое Дело? (именно Дело - с большой буквы). Если так, то почему именно сигнатурный сканер? Имхо, затея заранее обречена. На мой взгляд имеет смысл делать какую-то утилиту - создавать нечто между ХЖТ и хайжакфри.
Тогда, думаю, все такой полезный проект поддержат.

rav
07.01.2009, 23:21
Сигнатурный сканер силами одного человека- это дело времён конца 80х- ранних 90х. Сейчас, в данный момент времени, это просто бесполезная трата си и времени. Но если их не жалко- welcome.

ice-berg
09.01.2009, 15:52
базы
http://www.stopvirus.ru/bases/!BASE-X.rar 16mb

ice-berg
17.02.2009, 12:53
Новая версия X-Core 0.6 [beta]

X-Core распространяется - свободно


* Текущая сборка ядра: 0.6
* Версия движка X-Core: 0.0.9 : 16.02.2009
* Количество сигнатур: 500 тысяч

17.02.2009

+ возможность использования сложных сигнатур для поиска полиморфных вредоносных программ заражающие PE файлы. (Virus.) - (база сложных сигнатур будет постепенно пополняться)

+ скорость загрузки X-Core в 3 раза быстрее

+ скорость сканирования стала быстрее

(!) - замена иконок, логотипа


X-Core AV - это мощный антивирусный сканер только для операционной системы Microsoft Windows XP. (временно)

X-Core AV имеет резидентную защиту процессов в системе что обеспечивает защиту от запуска вредоносного объекта.

Особенности:

* Быстрая скорость сканирования
* Контроль запускаемых процессов (настраивается вами)
* Ежедневное обновление антивирусных баз через интернет
* Технология сканирования xForce (обеспечивает быстродействие)
* Сканирование архивов
* Карантин
* Возможность создать свои базы сигнатур
* Система контроля любых директорий на запуск приложений
* Поиск приложений скрывающих свое присутствие в системе (beta)
* Возможность использования сложных сигнатур для поиска полиморфных вредоносных программ


В разработке:

* Поиск "руткитов"
* Доработка ядра (создание своей службы)
* Возможность использования сложных сигнатур для поиска полиморфных вредоносных программ (выполнено)
* Поддержка упаковщиков
* Контроль реестра


На стадии тестирования:

* Встроенный брандмауэр
* Проактивная защита
* Контроль реестра



Скачать X-Core Win32:

http://stopvirus.ru/download.php?get=xcore

md5:807544be54042544bda8618f9fa9a045:20011190:xcor e.exe

Сигнатуры угроз за 17 февраля 2009 года

SDA
17.02.2009, 13:07
Любопытно узнать механизм реализации пополнения баз, если это не секрет.

IgorKr
17.02.2009, 13:21
* Количество сигнатур: 500 тысяч

Почему не точно так? ;)

ice-berg
17.02.2009, 13:31
Почему не точно так? ;)

да думаю скоро уже 500 будет :)
пока 486 если быть точным :)

- а механизм реализации пополнения баз впринципи прост. Модуль обновлений обращается за новыми базками на сервер stopvirus.ru.
Размер обновлений в сутки около 100-300 кб.

Кстати, механизм будет дорабатываться, дабы была возможность у X-Core самостоятельно обновлять компоненты.

ice-berg
11.03.2009, 20:10
Маленькая утилита против autorun.inf


Как известно, многие вредоносные программы размножаются через "флешки". Против этого в личных целях была написана маленькая программка - xAntiFlash. Думаем и Вам она тоже пригодится.

Утилита xAntiFlash - это маленькая программа, которая сидит в трее, и следит за наличием в корне дисков, (USB носителей) (!) любых файлов autorun.inf, autorun.vbs, autorun.bin.

Когда в Ваш компьютер вставляется USB FLASH носитель на котором присутствует autorun.inf, он сразу же перемещается в Карантин.

Внимание!

Программа не проводит анализ файлов на вирусы .inf, vbs, bin. Поэтому сразу перемещает любой autorun из корня носителя/жесткого диска - в карантин.

Скачать установочный файл (для XP/Vista):

http://stopvirus.ru/download_usb_control.php?get=x.AntiFlash (600 кб)

MedvedD
11.03.2009, 22:54
Первое что приходит в голову - как оно будет пытаться переместить autorun.inf с диска U3.

Kuzz
06.04.2009, 19:57
http://stopvirus.ru/xcore0.9.1_XP.exe /Win XP

http://stopvirus.ru/xcore0.9_VISTA.exe /Win Vista

просьба потестировать на ошибки

Отсюда (http://www.anti-malware.ru/forum/index.php?showtopic=6770&view=findpost&p=59580)

Kuzz
28.04.2009, 11:37
Просьба потестировать на ошибки.
Котнроль доступа к реестру, брандмауэр
http://stopvirus.ru/xcore2.0_alpha.exe

пост на АМ (http://www.anti-malware.ru/forum/index.php?showtopic=6770&view=findpost&p=62022)

Antitime
07.06.2009, 01:21
Что самое интересное, антивирус написан - на Delphi. Очень даже впечатляет.

ice-berg
30.10.2009, 16:53
Всем хай smile.gif))

beta версия xCore 2.0 .. даже Альфа.
Рекомендуется только опытным пользователям. Наблюдаются БСОДЫ rolleyes.gif

http://stopvirus.ru/del/x_core_beta_2.5.zip

Переделано всё полностью.. и надеюсь что доделаем 2.0. т.к. делать еще дохрена.

ice-berg
11.11.2009, 15:22
http://stopvirus.ru/del/xcore_2.0_beta_build_1.80.exe

Новая бета версия 2.0.
Доделан интерфейс, собран инсталлятор.. доделан скан по контексному меню, подготовлен модуль обновлений.. и др. мелочи.
Желающие, тестируем на бсоды.

OSSP2008
12.11.2009, 18:50
http://stopvirus.ru/del/xcore_2.0_beta_build_1.80.exe

Новая бета версия 2.0.
Доделан интерфейс, собран инсталлятор.. доделан скан по контексному меню, подготовлен модуль обновлений.. и др. мелочи.
Желающие, тестируем на бсоды.
какие операционки поддерживает?

Tabu13
29.12.2009, 14:29
http://stopvirus.ru/del/xcore_2.0_beta_build_1.80.exe

Новая бета версия 2.0.
Доделан интерфейс, собран инсталлятор.. доделан скан по контексному меню, подготовлен модуль обновлений.. и др. мелочи.
Желающие, тестируем на бсоды.
Хочу потестировать. Почему-то ссылка не работает (404). Где еще можно скачать?
Спасибо! И с Наступающим НГ :wink_3:

Surfer
29.12.2009, 22:52
Tabu13, http://stopvirus.ru/index.php?id=159

ice-berg
10.03.2010, 13:49
X-Core 2.0 [BETA]

Версия библиотеки ядра: 2.0.1
Количество сигнатур: 620.000

Полностью переделанное ядро антивируса X-Core 2.0 позволяет использовать сложные сигнатурные методы поиска вредоносных программ. Встроенный контроль запуска процессов предупредит о запуске исполняемого файла из критических областей операционной системы. X-Core 2.0 укомплектован функцией проверки файлов перед запуском по новому методу - через драйвер mhiv.sys. Увеличина скорость сканирования, ядро 2.0 использует гораздо меньше оперативной памяти чем предыдущая версия 0.9.1.

Скачать (http://stopvirus.ru/xcore_2.2.exe)
[2000/XP/Vista] на Windows7, пока, не работает защита в реальном времени.

X-Core распространяется - свободно.

++++++++++++++

[b]xCore Scanner AV

Скачать (http://stopvirus.ru/xscanner_1.2.exe)
[2000/XP/Vista] на Windows7, пока, не работает защита в реальном времени.

xCore Scanner AV представляет собой сборку из отдельно двух модулей:
- сканер
- модуль контроля "на лету"

Встроенный контроль запуска процессов предупредит о запуске исполняемого файла из критических областей операционной системы. xCore Scanner AV проверяет файлы перед запуском по новому методу - через драйвер mhiv.sys.

Вы можете создавать свои собственные антивирусные базы.

Постоянные сигнатурные обновления, плюс функционал X-Core - образует полноценный антивирусный продукт линейки Free.

Granin
19.04.2010, 05:48
Не могу понять, за что такая нелюбовь к антивирусам-конкурентам?
что в 1й версии ложные срабатывания на драйвера AVZ и CureIt, что в этой 2.0.4 (базы от 10.04.2010)

сам xCore активно пользуюсь, т.к. возможность добавлять md5 есть огромная радость, к примеру зачастую за день бывает отловлено более 10 разных единиц которых не опознает ни KIS, ни CureIt... вот только количество явно ложных срабатываний не даст такому сканеру стать коммерческим продуктом, но как Free, для понимающих людей - Супер!

AVZ не дает добавлять собственные базы, посему не конкурент :-\

P.S. явных глюков в 2.0.4 не заметил, а вот несуразности:
* картинки съемных дисков отличаются от стационарных очень мало, визуально почти не видно
* отсутствует сортировка папок по алфавиту - бесит жутко
* файл dxcore.xdb имеет отличное от других баз расширение и не присутствует в info.dat
* ухмыльнуло: rem +__ xCsanner <path> <command>
* ввели новый формат базы, где описание или хотябы сэмпл-пример??
* когда уберете одинаковые строки из баз, их там БОЛЬШЕ 11.000 дубликатов!!! неужто 800,000 не удовлетворяют Ваше самолюбие?

Добавлено через 45 минут

хотелось бы:
* более явную пометку папок для проверки в сканере по требованию ("птичку" или хотябы "жирную точку" как CureIt)
* вернуть возможность удалять/переносить/переименовывать после окончания сканирования
* сменить наф.. э... совсем сменить картинки, на кнопках сканера, совершенно не очевидно какие действия они означают... или хотябы хинты(под самыми кнопками показывать), вместо меняющейся статус-строки (почитайте про дизайн интерфейсов, много поучительного найдете)
* ползающий по вертикали хинт с сообщением об обновлении, это еще что за баловство?
* удаление залоченых (невидимых) файлов в момент перезагрузки... (как в AVZ)
если программа не видит файла, это не значит что файла нет... не надо программе расписываться в некомпетентности хм... ну понятно, да?
* и на сегодня последнее пожелание: прикрутить к "Информация о PE файле" кнопку со сбросом сей инфы в файл с сэмплами, или хотябы в clipboard... (не умничаю, потерялось из головы слово)

спасибо за Вашу программу, а тех кто писал выше "...пустая трата времени" и "...заменить ваш нод32 на антивирус с вирлабом, в котором ответ будет более быстрым..." Вы не слушайте... т.к. придти к клиенту/другу/соседу и сказать "Вы подождите несколько дней, Касперский/Симантек/Есет базы обновит, вылечит этот троян" это даже не просто расписаться в своей некомпетентности, после этого врядли разговаривать кто захочет, а делов-то (как правило) 10-15 минут, (если зверей немного): найти в лицо, опознать и добавить в базу

Granin
15.05.2010, 00:25
в дополнение:
версия 2.0.4:
* сканер КАЖДЫЙ раз подгружает? базы заново, делает это довольно долго (десятки секунд)
* из "пользовательской" базы в случае отсутствия в конце файла #13#10 не грузится последняя строка
* нет возможности штатными средствами программы отключить автозапуск, при этом при каждом запуске программа старательно лезет в автозапуск... (в версии 0.9.Х было лучше), но если уже так старательно держаться за автозапуск, то при удалении из него надо спрашивать: добавить программу в автозапуск да/нет?
* 76Мб в памяти это многовато... :(
* продолжают раздражать ложные срабатывания, будет ли возможность вести "белый список", для исключения ложных срабатываний?

не совсем понятно почему версия 2.0 после 0.9 :)

BlackCash
06.09.2010, 06:10
Доброго времени суток. Признаться честно, развитие проекта "xCore" остановилось. Базы уже не обновляются, да и я сам по кое каким причинам не смогу некоторое время развивать проект дальше в полной мере... Если кому нибудь был и остается интересен этот проект и Вы согласны взяться за его поддержку, то жду ваших предложений...

P.S. Туго в нашей армии со свободным временем и интернетом, пишу тайком, пока старшина не видит =) ...

P.P.S. Выкладываю последнюю версию сканера...

Kuzz
31.10.2010, 14:36
http://www.delphisources.ru/pages/sources/system/2010-year/xcore-antivirus.html

Volstr
20.11.2010, 17:03
Народ поскажите как можно упаковать свои собственные базы?
написано с помощью xCoreLib. а вот как? вопрос остается неизвестным.