ВАЖНО Miner Search - Поиск и уничтожение скрытых майнеров

[X-Shar]

Программа разработанная для поиска и уничтожения скрытых майнеров. Является вспомогательным инструментом для поиска подозрительных файлов, каталогов, процессов и тд. и НЕ является антивирусом.

Обнаруживает и приостанавливает вредоносные процессы. Запускает удаление заблокированных папок через список контроля доступа на вкладке безопасность. При нахождении каких либо подозрительных или вредоносных объектов требуется подтверждение на запуск автоматической очистки.

Основан на Miner Killer.

• Улучшен процесс сканирования процессов;
• Добавлено статическое сканирование каталогов;
• Добавлена функция автоматической очистки от вредоносных каталогов;
• Уничтожение вредоносных процессов (в том числе помеченные как критические)
• Сканирование вредоносных ключей реестра и т.д...

Для запуска требуется NET Framework 4.5 и выше.

Ссылка на гитхаб (Можно ознакомиться с кодом программы):

Вы должны зарегистрироваться, чтобы увидеть внешние ссылки

Скачать бинарник можно здесь:

Вы должны зарегистрироваться, чтобы увидеть внешние ссылки

Автор:@Spectrum735

 

[X-Shar]

Ну либо написать на питоне, правда сам питон тащить придется, неудобно...:(

 

[Spectrum735]

А вычислять заголовки PE и интрапию, это что имеется в виду ?

как DIE вычисляет сначала секции и показывает энтропию этой секции

Спойлер: Пример

И почему нельзя сделать на C#.

пишу на NET Framework, а практически все реализации на C# идут на NET Core (мне он не нравится из-за большого билда на выходе с кучей файлов)

для работы с PE, если я ничего не путаю, можно эти консольные тулзы вызывать из C#, а результат парсить

Не хотелось бы таскать с собой ничего. Питон вообще не вариант.

 

[Spectrum735]

Вообщем кое-как скостылил, повысив точность определения до 98.03%

 

[Spectrum735]

Обновление MinerSearch v1.4.4.0

1) Исправлен баг с невозможностью удалить найденные файлы до закрытия программы
2) Улучшен алгоритм поиска майнера при статическом анализе
3) Сокращено ложное срабатывание Антивирусных решений. Некоторые антивирусы всё ещё могут помечать файл как троян, просто добавьте в исключение.
4) Добавлен параметр --depth. Устанавливает максимальное значение глубины поиска при сигнатурном сканировании. Пример использования: --depth=3 (по умолчанию 8).
5) Добавлена сигнатурная проверка файлов из планировщика задач
6) Добавлен счетчик запуска MinerSearch
7) Добавлен параметр --winpemode. В это режиме запрашивается буква диска для сканирования. Предполагается, что это диск с зараженной системой. Сканирование процессов, реестра, задач планировщика, каталогов в профиле пользователя не производится. Далее, необходимо снова загрузится в зараженную систему и выполнить повторное сканирование.

 

[virusdefender]

@Spectrum735, Для запуска требуется NET Framework 4.7.2. Понизь пожалуйста версию фреймворка. 4.7.2 не запускается на 7, 8 и 8.1.

 

[Spectrum735]

не запускается на 7, 8 и 8.1.

Устанавливаем framework 4.0, затем 4.5.2 и все работает

 

[Spectrum735]

@virusdefender, достаточно 4.5.1, 4.0 можно не ставить

 

[Spectrum735]

@virusdefender, разобрались?

 

[virusdefender]

@Spectrum735, да. Рекомендую, если у Вас будет свободное время, сделать простую графическую морду.

 

[Spectrum735]

Рекомендую, если у Вас будет свободное время, сделать простую графическую морду.

Наработки GUI уже имеются, появится во второй версии MinerSearch, из базового функционала пока только скан процессов, работы ещё непочатый край.

Спойлер: Главное меню

Спойлер: Раздел сканирования