Презентация научно — практичесой работы Создание собственного антивируса

Создание собственногоантивируса Тема: Как создать собственный сканер-антивирусЦЕЛЬ: Изучить алгоритм работы существующих антивирусов и создать собственный антивирусЗадача: Создать программу, позволяющую проверять систему на наличие вредоносных программПродукт проекта: Сканер-антивирусГипотеза: Можно ли создать антивирус и встроить его в браузерМетоды решения: Сравнения работы антивирусов и их исследования, тестирование и отладка программыАктуальность: Антивирусы – актуальны в наше время. Они защищают компьютеры от вредоносных программ. Самые популярные антивирусы разрабатываются многими кампаниями, такими как: KasperskyLab, AVG, DrWEB, Avast!, Norton, Panda и т. д. История антивирусов История вирусов и антивирусов началась приблизительно в 2000 году. Появление первых вирусов привело к тому, что стало необходимостью создание антивирусной программы. Самая первая такая разработка принадлежала Российской компании «Диалог-Наука». Ее антивирус выпускался на двух дискетах. Обновления выходили на таком же носителе каждую неделю. Удивительным фактом было то, что при обнаружении какого-либо вируса удаление не происходило. Для этого требовалось отослать результаты в лабораторию Москвы. Здесь уже разрабатывалось лекарство. Именно эта организация в последствие организовала известную во всем мире Лабораторию Касперского. Одновременно организация «Диалог-Наука» работала над созданием антивируса Dr.Web. Антивирус-сканер Scan+ На сегодняшний день существует множество антивирусов, но в каждом есть свои плюсы и минусы. Создание антивируса включает в себя следующие подзадачи и процессы: 1. Создание «движка» антивируса 2. Разработка графического интерфейса 3. Создание базы вирусовСуществует только два способа реализации алгоритма проверки кода вируса. Первый способ – это перебор строк кода вируса, второй способ – перебор букв кода вируса. И первый и второй способы помогут создать «движок» антивируса. Но второй способ очень объёмный в написании кода и не подходит для создания базы вирусов. Алгоритм проверки файлов Происходит перебор кода вируса WinLocker Trojan.Winlock (Винлокер) — семейство вредоносных программ, блокирующих или затрудняющих работу с операционной системой, и требующих перечисление денег злоумышленникам за восстановление работоспособности компьютера, частный случай Ransomware (программ-вымогателей). Впервые появились в конце 2007 года. Широкое распространение вирусы-вымогатели получили зимой 2009—2010 годов, по некоторым данным оказались заражены миллионы компьютеров, преимущественно среди пользователей русскоязычного Интернета. Второй всплеск активности такого вредоносного ПО пришёлся на май 2010 года. Часто эти вирусы удаляют загрузочный файл hal.dll, который позволяет компьютеру произвести загрузку системы Windows. Winlocker невозможно убрать стандартными средствами Windows(перезагрузка ПК, запуск безопасного режима и т.д.) Winlocker удаляется только сторонними программами(LiveCD, Dr.Web, AVZ tool). Для удаления Winlocker’а я разработал специальный модуль к своему антивирусу – AWT. Модуль AWT Модуль AWT (AntiWinlockTool) поможет, если компьютер «заразился» вредоносной программой WinLocker. AWT – консольное приложение, содержащее набор команд, которые удаляют Winlocker и восстанавливают систему путём создания нового файла hal.dllДля полного доступа к процессам использовалась библиотека Assembler.AWT запускается сам, если окно Winlocker’а запущено. Затем происходит удаление Winlocker’a. Команда check(проверка) Команда check проверяет наличие файла hal.dll без использования процессора. Проверка происходит через ОЗУ. Если файла нет, то AWT восстановит систему. Команда restore(восстановить) Команда restore восстановит систему в любом случае, независимо от того, есть ли файл или нет. Тест антивируса Для теста антивируса можно воспользоваться сайтом VirusTotal. VirusTotal – это сайт для сканирования файлов. На сайте существует возможность зарегистрировать свой продукт на срок 10 дней. Результаты сканирования Сканирование показало, что собственный антивирус Scan+ распознал загруженный файл как Haxdoor.Fam Сравнительная карта антивирусов Антивирусы Ситуация AVG Kaspersky Lab Avast! Norton Dr.Web Scan+ Вирус на носителе Прямое удаление угрозы Перемещение в карантин Перемещение в карантин Сканирование носителя и удаление угрозы Сканирование носителя и удаление по решению пользователя Прямое удаление угрозы Вирус на винчестере или SSD Прямое удаление угрозы Перемещение в карантин и удаление Удаление угрозы по решению пользователя Сканирование и удаление угрозы Сканирование и удаление по решению пользователя Прямое удаление угрозы Вредоносный сайт Предупреждение Предупреждение Блокировка сайта Предупреждение Блокировка сайта Блокировкасайта ZIP или RAR архивы Сканирование архива через папку TEMP Сканирование архива напрямую - - Сканирование архива через папку TEMP Сканирование архива через папку TEMP Загрузка угрозы с Интернета Прямое удаление угрозы (дополнение) Перемещение в карантин(дополнение) - - - Прямое удаление угрозы ZIP или RAR архивы с паролем - Сканирование - - Сканирование - Добавление модуля Scan+ в браузер ZIC, разработанный мной