Всем привет, шёл-шёл-шёл и нашёл, что хотел-то, ах-да, на hpc.name нарвался на прикольную статью от уважаемого M@ZAX@KEP (
Там у них ролик почему-то битый в архиве, пришлось восстановить и залить, но об этом позже, сейчас сама статья:
Наверняка многим из нас хоть раз (а может и больше) приходилось пользоваться сервисами онлайн-проверки файлов, наподобие
Минус подобных проверок очевиден – нет никакой гарантии, что файл не будет слит на проверку антивирусным компаниям и что ваш новый софт так и останется незасвеченным. Все знают, что вирустотал сливает все файлы, а на novirusthanks.org вроде как есть галочка «не распространять»… но кому какое дело, это всё равно ничего не гарантирует! Увы. Если говорить о плюсах подобных систем, то это, пожалуй лучший способ проверить софт сразу пачкой антивирусов и узнать личное мнение каждого из них.
Кстати, вы любите убивать зайцев? А сразу двух? xD Сейчас этим и займёмся: нашаманим систему проверки файлов несколькими антивирусами, естественно, не сливающую никакой инфы антивирусным компаниям.
Итак, понеслась!…
Подготовка рабочей среды для нашей системы:
Думаю, не разумно грузить на свою машину сразу несколько антивирусов, зачем так насиловать систему? Ставить будем на виртуалку. Посему качаем и устанавливаем виртуалку, которая вам роднее, а я буду всё делать на VirtualBox.
Ставим на нашу виртуальную машину любую никсовую систему, в обязательном порядке настраиваем на виртуалке инет, ибо как потом сигнатуры обновлять?
Почему именно Linux? Да потому, что виндоуз разрабатывалась с ориентацией на графический интерфейс, а в никсе всё наоборот... GUI прифигачен поверх операционки для удобоваримости. Для нас это означает возможность работать через командную строку со всеми приложениями и антивирусами. В масдае подобного не наблюдалось и в ходе тщетных экспериментов получилась система всего с 4 антивирусами... не серьёзно.
Итак, линух поставили, инет настроили. Всё работает? Зашибись, теперь нужно скачать антивиры. Начнём со скромного набора из 8 антивирей, просто чтобы понять суть моей задумки и принцип организации системы. При желнии набор антивирусников можно будет в дальнейшем расширить.
Прямых линков на закачку не даю, ибо я хз какой дистриб вы поставите. =) Так что выбираем и качаем антивири каждый под свою систему. Лично у меня Ubuntu 10.04 x64.
Ока качается, сделайте бутерброд, без него дальше никак!
Просто инсталляция стольких программ – не самый быстрый и увлекательный процесс. =) После того, как все авири будут установлены, можно начинать в них ковыряться, дабы уменьшить производимую ими нагрузку на систему: отключаем всякие «проверки в реальном времени», слежение за системой, обнаружения руткитов и прочую ненужную в нашем случае ересь.
А лучше вообще убрать их из автозапуска (в моём наборе туда садятся только nod32 и dr.web). Ещё раз повторюсь, что нам нужен только сканер, всё остальное можно смело вырубать. В т.ч. различные запланированные проверки, проверки памяти при запуске и т.п.
Всё отрубили? Должно немного полегчать… чувствуете облегчение? Нет? Значит у вас слишком мощный комп. xD
Создание системы сканирования и отчётов:
После того, как всё было установлено и настроено, приступим к более глубокому ковырянию наших авирей, а именно – их консольного интерфейса. Суть этой затеи состоит в том, чтобы написать скрипт, который будет отдавать антивирусам команды на сканирование файла и записи отчётов в логи, а затем соберёт все отчёты в более читабельный вид.
Надеюсь, идея ясна, с этого момента можно начинать смотреть видео, а всё нижеследующее будет просто своеобразной памяткой к нему:
Весь процесс можно описать в 3 шага:
Список моих команд для сканирования получился таким:
Обратите внимание, что каждый антивирус помещает свой отчёт в отдельный файл. Некоторые антивирусы не перезаписывают файл лога, а продолжают запись в его конец. В этом случае мы удаляем старый файл перед сканированием, чтобы было больше порядка в логах. Последняя строка кода открывает все файлы из папки логов в текстовом редакторе gedit. Если в вашем дистре другой редактор по умолчанию, можете попробовать провернуть ту же байду через него, если не получится, сделаете sudo apt-get install gedit
Вот скрипт для обновления антивирусных сигнатур:
При добавлении новых антивирусов в вашу коллекцию, не забудьте добавить в скрипты ещё одну строку того же вида, что и все остальные. Думаю, ничего сложного в такой работе по шаблону не будет, принцип я показал на примере аж 8 АВеров =).
Вот, собственно, и всё! Теперь у нас есть собственный сервис проверки файлов несколькими антивирусами, не отсылающий файлы антивирусным компаниям, не требующий постоянного наличия инета (ну мало ли что), да ещё и работающий быстрее онлайн-сервисов (закачивать файл и ждать в очереди на проверку-то не надо)!
Осталось только решить проблему с ключиками для некоторых антивирусов… хотя найти их не так уж и сложно, было бы желание. А ещё можно переустанавливать их сколько влезет вместе со всей виртуалкой, если не влом, конечно… xD ну или как вариант можно переводить часы на основной машине перед запуском виртуалки (сам не пробовал, но по логике должно работать ).
Не палите свои вирусы. Удачного анализа!
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки
)Там у них ролик почему-то битый в архиве, пришлось восстановить и залить, но об этом позже, сейчас сама статья:
Наверняка многим из нас хоть раз (а может и больше) приходилось пользоваться сервисами онлайн-проверки файлов, наподобие
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки
или
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки
. При чём я имею ввиду не те случаи, когда вы анализировали подозрительный файл, а когда вам нужно было протестировать свой криптор или вирус, дабы узнать, какими антивирусами они палятся.Минус подобных проверок очевиден – нет никакой гарантии, что файл не будет слит на проверку антивирусным компаниям и что ваш новый софт так и останется незасвеченным. Все знают, что вирустотал сливает все файлы, а на novirusthanks.org вроде как есть галочка «не распространять»… но кому какое дело, это всё равно ничего не гарантирует! Увы. Если говорить о плюсах подобных систем, то это, пожалуй лучший способ проверить софт сразу пачкой антивирусов и узнать личное мнение каждого из них.
Кстати, вы любите убивать зайцев? А сразу двух? xD Сейчас этим и займёмся: нашаманим систему проверки файлов несколькими антивирусами, естественно, не сливающую никакой инфы антивирусным компаниям.
Итак, понеслась!…
Подготовка рабочей среды для нашей системы:
Думаю, не разумно грузить на свою машину сразу несколько антивирусов, зачем так насиловать систему? Ставить будем на виртуалку. Посему качаем и устанавливаем виртуалку, которая вам роднее, а я буду всё делать на VirtualBox.
Ставим на нашу виртуальную машину любую никсовую систему, в обязательном порядке настраиваем на виртуалке инет, ибо как потом сигнатуры обновлять?
Почему именно Linux? Да потому, что виндоуз разрабатывалась с ориентацией на графический интерфейс, а в никсе всё наоборот... GUI прифигачен поверх операционки для удобоваримости. Для нас это означает возможность работать через командную строку со всеми приложениями и антивирусами. В масдае подобного не наблюдалось и в ходе тщетных экспериментов получилась система всего с 4 антивирусами... не серьёзно.
Итак, линух поставили, инет настроили. Всё работает? Зашибись, теперь нужно скачать антивиры. Начнём со скромного набора из 8 антивирей, просто чтобы понять суть моей задумки и принцип организации системы. При желнии набор антивирусников можно будет в дальнейшем расширить.
Прямых линков на закачку не даю, ибо я хз какой дистриб вы поставите. =) Так что выбираем и качаем антивири каждый под свою систему. Лично у меня Ubuntu 10.04 x64.
Код:
Avast http://www.avast.com/linux-home-edition#tab4
AVG http://free.avg.com/gb-en/download.prd-afl
Avira AntiVir http://www4.avira.com/en/download/download_finish.php?survey=6&mod=1&step=6
BitDefender http://www.bitdefender.com/world/Downloads/browseEvaluationVersion/2 (выбираем BitDefender Antivirus Scanner for Unices)
Dr.Web http://download.drweb.com/linux/
F-PROT6 http://files.f-prot.com/files/unix-trial/fp-Linux-i686-ws.tar.gz
Kaspersky http://www.kaspersky.ru/work_space_security_trial
NOD32 http://beta.eset.com/linux/
Ока качается, сделайте бутерброд, без него дальше никак!
Просто инсталляция стольких программ – не самый быстрый и увлекательный процесс. =) После того, как все авири будут установлены, можно начинать в них ковыряться, дабы уменьшить производимую ими нагрузку на систему: отключаем всякие «проверки в реальном времени», слежение за системой, обнаружения руткитов и прочую ненужную в нашем случае ересь.
А лучше вообще убрать их из автозапуска (в моём наборе туда садятся только nod32 и dr.web). Ещё раз повторюсь, что нам нужен только сканер, всё остальное можно смело вырубать. В т.ч. различные запланированные проверки, проверки памяти при запуске и т.п.
Всё отрубили? Должно немного полегчать… чувствуете облегчение? Нет? Значит у вас слишком мощный комп. xD
Создание системы сканирования и отчётов:
После того, как всё было установлено и настроено, приступим к более глубокому ковырянию наших авирей, а именно – их консольного интерфейса. Суть этой затеи состоит в том, чтобы написать скрипт, который будет отдавать антивирусам команды на сканирование файла и записи отчётов в логи, а затем соберёт все отчёты в более читабельный вид.
Надеюсь, идея ясна, с этого момента можно начинать смотреть видео, а всё нижеследующее будет просто своеобразной памяткой к нему:
Весь процесс можно описать в 3 шага:
- разобрать, как юзать авир через терминал
- составить команду, проверяющую файл и записывающую отчёт в файл лога
- составить команду для обновления антивирусных баз
Список моих команд для сканирования получился таким:
Код:
echo "If you want to update your AV-signatures, please run the 'update' script."
sudo rm ~/logz/kav
sudo /opt/kaspersky/kav4ws/bin/kav4ws-kavscanner -i0 -o~/logz/kav /home/mx/123
rm ~/logz/drweb
drweb -path=~/123 -ini=~x/drweb32.ini
/opt/eset/esets/sbin/esets_scan ~/123 -f ~/logz/nod32 --log-rewrite --clean-mode=none
avgscan --report=~/logz/avg /home/mx/123
rm ~/logz/bit-defender
bdscan --log=~/logz/bit-defender --action=ignore ~/123
fpscan --output=~/logz/f-prot ~/123 -r
rm ~/logz/avast
avast --report=*~/logz/avast ~/123 --continue=2
avscan -r1 -rf=~/logz/avira ~/123 --alert-action=none
gedit ~/logz/*
Обратите внимание, что каждый антивирус помещает свой отчёт в отдельный файл. Некоторые антивирусы не перезаписывают файл лога, а продолжают запись в его конец. В этом случае мы удаляем старый файл перед сканированием, чтобы было больше порядка в логах. Последняя строка кода открывает все файлы из папки логов в текстовом редакторе gedit. Если в вашем дистре другой редактор по умолчанию, можете попробовать провернуть ту же байду через него, если не получится, сделаете sudo apt-get install gedit
Вот скрипт для обновления антивирусных сигнатур:
Код:
echo "Обновляем сигнатуры... времени уйдёт немало, можете пока покурить...
Кстати, для Nod32 придётся тыкнуть 'обновить' ручками =)"
sudo /opt/kaspersky/kav4ws/bin/kav4ws-keepup2date
sudo /usr/lib/AntiVir/guard/avupdate-guard --product=scanner
'/opt/drweb/scripts/drweb-cc/update.sh'
'/your/path/to/f-prot/fpupdate'
avast-update
sudo avgupdate
sudo bdscan --update
При добавлении новых антивирусов в вашу коллекцию, не забудьте добавить в скрипты ещё одну строку того же вида, что и все остальные. Думаю, ничего сложного в такой работе по шаблону не будет, принцип я показал на примере аж 8 АВеров =).
Вот, собственно, и всё! Теперь у нас есть собственный сервис проверки файлов несколькими антивирусами, не отсылающий файлы антивирусным компаниям, не требующий постоянного наличия инета (ну мало ли что), да ещё и работающий быстрее онлайн-сервисов (закачивать файл и ждать в очереди на проверку-то не надо)!
Осталось только решить проблему с ключиками для некоторых антивирусов… хотя найти их не так уж и сложно, было бы желание. А ещё можно переустанавливать их сколько влезет вместе со всей виртуалкой, если не влом, конечно… xD ну или как вариант можно переводить часы на основной машине перед запуском виртуалки (сам не пробовал, но по логике должно работать ).
Не палите свои вирусы. Удачного анализа!