میشه یه توضیح کوچیک بدید که این نرم افزار چی هست؟
من نمیخوام virus signature رو خودم بسازم،فقط میخوام از توی اینترنت چندتا virus signature که با الگوریتم md5 ساخته شده اند رو پیدا کنم،و فقط اسم ویروس ;alert level ; و virus signature ِ اون ها رو میخوام.....
من نمیخوام virus signature رو خودم بسازم،فقط میخوام از توی اینترنت چندتا virus signature که با الگوریتم md5 ساخته شده اند رو پیدا کنم،و فقط اسم ویروس ;alert level ; و virus signature ِ اون ها رو میخوام.....
ممنون از راهنماییتون...من فکر میکردم برای هر ویروس یک virus signature وجود داره که آنتی ویروس با داشتن اون میتونه ویروس رو شناسایی کنه..ولی الان میبینم توی این سایت هر فایل ِ آلوده ای یک virus signature داره و اون فایل انگار شامل جندتا ویروس هستش توسط چندتا آنتی ویروس اسکن کرده !درست میگم؟
درضمن میزان خطر هر ویروس توی این سایت نزده؟
ممنون از راهنماییتون...من فکر میکردم برای هر ویروس یک virus signature وجود داره که آنتی ویروس با داشتن اون میتونه ویروس رو شناسایی کنه..ولی الان میبینم توی این سایت هر فایل ِ آلوده ای یک virus signature داره و اون فایل انگار شامل جندتا ویروس هستش توسط چندتا آنتی ویروس اسکن کرده !درست میگم؟
درضمن میزان خطر هر ویروس توی این سایت نزده؟
virustotal فایل های مشکوک رو همراه با نتیجه تست ویروس کش ها آرشیو می کنه، هر نمونه فایل آرشیو شده اش از نظر محتوای داخلش کاملا منحصر بفرد ئه.
ممکنه ویروس x فایل y رو در 10 کامپیوتر آلوده کرده باشه اما این 10 فایل دقیقا بایت به بایت یکجور نباشند، خیلی از ویروس ها اینطوری اند.
virustotal همه اون 10 فایل رو جداگانه آرشیو خواهد کرد، کاری به این نداره که ویروس آلوده کننده یکسانه، MD5 اون 10 فایل هم با همدیگه فرق خواهد کرد.
اساسا Virus Signature نمی تونه یک MD5 باشه، الگوی آلوده سازی یک ویروس خیلی ساختار پیچیده ای داره و نمیشه با یک MD5 ثابت تعریف اش کرد. با MD5 نمی توانید ویروسی
رو شناسایی کنید، شما صرفا می توانید برای شناسایی یک فایل آلوده خاص از MD5 استفاده کنید. اون MD5 برای هیچ نمونه دیگری از آلوده سازی یک ویروس معتبر نیست.
بازم تشکر از راهنماییتون......پس من برای پیدا کردن ِ جواب سئوالم باید از توی سایت نام فایل رو به همراه سیگنرچش بردارم درسته؟ولی استادمون گفته نوع ویروس به همراه سیگنچرش!دقیقا گفته سگنچر بدافزار!!!درصورتی که شما میگید یه ویروس یه سیگنچر خاص نداره!
بازم تشکر از راهنماییتون......پس من برای پیدا کردن ِ جواب سئوالم باید از توی سایت نام فایل رو به همراه سیگنرچش بردارم درسته؟ولی استادمون گفته نوع ویروس به همراه سیگنچرش!دقیقا گفته سگنچر بدافزار!!!درصورتی که شما میگید یه ویروس یه سیگنچر خاص نداره!
من نگفتم ویروس Virus Signature خاص نداره، هر ویروسی یک Virus Signature داره، حالا یا ساده یا پیچیده. اما شما Virus Signature رو به MD5 تعبیر می کنید.
یک ویروس MD5 منحصر بفردی نداره. MD5 صرفا یک Hash ئه، یک بیت از داده ورودی اش عوض بشه کد MD5 معادلش کلا عوض میشه. با MD5 نمیشه Virus Signature ویروس ها رو ثبت کرد.
Virus Signature باید بتونه جابجایی مقادیر، چندشکلی بودن محتوای و پیچیدگی الگوی ویروس رو ثبت کنه، برای همینه که ساختن ویروس کش ها اینقدر دشواره، Virus Signature
در هر ویروس کشی یک الگوریتم پیچیده و خاص خودش رو داره، کلا یک کد ساده عمومی و یکسان نیست.
MD5 اصلا برای این منظور مناسب نخواهد بود.
اما منظور استادتون شاید اصلا ویروس نباشه، بد افزار الزاما ویروس نیست، ممکنه یک نرم افزار جاسوسی باشه، ممکنه یک چیزی مثل این نمونه های autorun باشه که فایل دیگه ای رو آلوده نمی کنند.
اینها ذاتا هم فایل شون همیشه یک اندازه است و محتویاتش هم هیچوقت تغییر نمی کنه. همچین مواردی MD5 براشون قابل استفاده است چون اولا کاری به فایل های دیگه ندارند که MD5 های نامحدودی لازم باشه
و ثانیا خودشون هم صرفا با یک MD5 قابل شناسایی اند، مگر اینکه نسخه جدیدی ازشون ساخته بشه. روی صد کامپیوتر هم که خودشون رو تکثیر کنند باز مشابه همون نمونه اول اند و با MD5 ثابت.
اگه دنبال اینجور بد افزار ها هستید، اسم فایل های ثابت بعضی ها شون svchost.exe و RECYCLES.pif و autorun.exe و autoply.exe و autoplay.exe و system.exe و Recycle.exe و Recycled.exe و ... است.
