Комментариев: 25

1. 2011-12-18 в 01:01:22 | хакэр
   

   Мои поздравления!

2. 2011-12-18 в 09:37:41 | Flint
   

   Нужно добавить опциональную настройку в сканер (добавить в проводник/удалить из проводника) для исполняемых файлов в контекстное меню.

3. 2011-12-18 в 10:47:32 | killmaster
   

   вазон, ты лучше поясни как пользоваться

4. 2011-12-18 в 10:47:36 | Valentin_P
   

   1)визаульно виснет, нет отображения прогрессбара - сколько до конца анализа.

   2)очень мелкая гистограмма - нет масштаба.

   3)хотелось бы сортировать таблицу не только по процентам. типа по клику на заголовок выбирать тип сортировки.

   4)мало признаков..

5. 2011-12-18 в 10:49:12 | Valentin_P
   

   забыл написать что заебись чо - без багов гистограмма и плавающая частота - алгоритм верный

6. 2011-12-18 в 11:19:55 | Flint
   

   Valentin_P пишет: 4)мало признаков..

   --------------------

   "Критикуешь- предлагай. Предлагаешь- делай."

   Каких признаков еще добавить?

7. 2011-12-18 в 18:45:35 | Jesus
   

   Vazonez, на чём написано это чудо?

8. 2011-12-18 в 21:27:00 | Опхуй
   

   Jesus, а какой язык позволяет формошлёпить без .нета, но не быйсик 6? (зимой и летом одним цветом тоже кстате).

9. 2011-12-18 в 21:49:47 | Аноним
   

   Flint - если бы я предлагал конкретные примеры - я бы писал свою утилиту. по коду там ничего сложного.

10. 2011-12-18 в 21:54:30 | Jesus
    

    Опхуй, Delphi?

11. 2011-12-18 в 22:28:10 | vazonez
    

    Jesus, гуй на дельфе, "двиг" на асме в форме либы.

    Аноним, просто фантазия быстро иссякает и любые идеи будут кстате.

12. 2011-12-19 в 15:52:06 | K10
    

    А какие признаки она проверяет?

13. 2011-12-19 в 16:16:01 | Valentin_P
    

    Аноним = Valentin_P в последнем.

    добавь туда импорт - по разделам. например всегда вызывает подозрения импорт инет функций или работа с системными сервисами этц

14. 2011-12-19 в 17:54:53 | Аноним
    

    Valentin_P, а точнее - порядок их вызовов.

15. 2011-12-20 в 00:41:48 | Valentin_P
    

    Я говорю про ИМПОРТ. а не про сигнатуры в коде = порядок вызова. импорт - влияет на оценку рейтинга опасности. как доп фича - вынести список опасных апи: send recv etc.

    сигнатуры в коде искать это конечно круто но не думаю что вазонез станет писать свой эмулятор для теста чужих

16. 2011-12-20 в 18:23:55 | vazonez
    

    Valentin_P, сигнатуры это понятно, нахуй. Но насчет импорта - что именно там смотреть? Наличие каки-бяки вроде shellexec и инетовских либ? Как-то многовато фолсов будет)

17. 2011-12-20 в 18:48:10 | Valentin_P
    

    вазонез - пройдись прям по всем полям пе, которые могут отличатся от того что создают линкеры(!) то есть нестандратные - выравнивание файловое\виртуальное и т.д.

    импорт - да

    URLDownloadToFile

    OpenScmManager

    (..)

    -чисто выводить из каких групп риска апи есть - интернет,драйвера,авторан, копирование контекста(скриншотер), внедрение в чужое АП, установка хуков,кликкеры(windows message - поиск и посылка),т.д.

    м.б. работа с микрофоном\камерой - их апи я хуже знаю.

    аверы просто повышают рейтинг опасности а не детект дают.

    алсо -отсутствие иконки, нетипизированные ресурсы

    и нужен какой автомат анализ гистограммы и частоты плавающей

18. 2011-12-27 в 16:31:22 | Valentin_P
    

    vazonez ! мысля есть - запили чтобы можно было данные можно было сохранять и сравнивать.. на различия, типа построить график различий между двумя старыми..

19. 2011-12-27 в 16:33:05 | Valentin_P
    

    или вообще блядь - отдельным отчетом со всей инфой напарсенной и расчитанной..

20. 2011-12-29 в 02:01:06 | EeEeEE
    

    Ну у меня пишет Entropy: 6,03, это бляЦко много или как?

21. 2011-12-29 в 02:04:27 | EeEeEE
    

    И еще какого хуя она на любой файл пишет

    -------

    [+] Контрольная сумма в заголовке не совпадает с реальной

22. 2012-01-16 в 09:40:36 | Flint
    

    Довайте уже обновление делайте.

23. 2012-01-29 в 21:09:02 | iret
    

    Vazonez, инетерсно что за компонента ты использовал для вывода графиков(плавающей частоты), TeeChart?

24. 2012-02-16 в 11:50:14 | teXture
    

    Vazonez здравствуйте. Соглашусь с Valentin_P, нужно пройтись по всем полям PE, проверить их корректное заполнение. Может еще добавить проверку на корректность рич сигнатуры и статистику встречи опкодов. Насчет проверки импорта на наличие подозрительных для аверов функций, опять же можно собрать статистику для сравнения. Очень хотелось бы, чтоб программа поддерживала обработку командной строки. Очень неудобно каждый раз запускать программу, жать кнопку и выбирать файл.

25. 2012-05-10 в 12:16:06 | паук
    

    Открыл 33 метровый распакованный Skype - повисло с "Out of memory". Не вазонез!