Total Commander :: [WDX] Bitchaos

through

[^/[Print]\]
Goto page 1, 2 Next :| |:
Total Commander -> Плагины Total Commander

#1: [WDX] Bitchaos Author: Kick10,

Posted: Sun Apr 07, 2013 11:04
—
Контентный плагин, с джентельменским набором функций для определения вредоносного ПО Smile

Умеет определять исполняемые файлы Windows PE, в не зависимости от их расширения и показывать о них следующую информацию:
- является ли файл упакованным или зашифрованным(определяет эвристически)
- валидность цифровой подписи
- имя PE секции в который находится точка входа(полезно для определения заражения файловыми вирусами)
- список PE секций и их энтропия в процентах
- наличие у файла информации о версии и создателе(саму информацию не отображает, только сам факт ее наличия для удобства расширенного поиска)
- краткую информацию о использовании файлом определенных winapi-функций(работает ли файл с сетью, файлами, реестром, процессами). Здесь анализируется таблица импортов, так что динамически загружаемые библиотеки не учитываются. Список проверяемых api функций можно редактировать в файле funcgroups.json
- детект файла антивирусами. Плагин пробивает детект файла по md5 используя сервисы hxxp://www.virustotal.com(проверка 50+ антивирусами). Эта функция может работать очень медленно при плохом интернет соединении. Детекты кешируются на компьютере пользователя, если нужно пересканировать файлы, то нужно самому удалить файл кеша "verdicts" в папке плагина.
Так же можно использовать колонки плагина для расширенного поиска и подсветки файлов.

Пожалуйста про баги сообщайте сюда.

#2: Author: Flasher, Location: Москва

Posted: Sun Apr 07, 2013 15:52
—
Kick10, приветствую на форуме.

Что вижу. Грузится долго. Формат wdx, ИМХО, не для подобных нужд.

При юникодном TC (UTF-8 ) - кракозябры:
Имя 1394bus.sys
Упакован: РќРµС
Подпись: Р”РµР№СЃС‚РІРёС‚РµР»СЊРЅР°
Точка входа INIT: [7/9]
Энтропия секций:
.text=81%|.rdata=54%|.data=21%|.guids=4%|PAGE=79%|.edata=18%|INIT=64%|.rsrc=42%|.reloc=71%
Информация о версии: Р”Р°
Импорты: <пусто>
АВ детект: OK

Что даёт энтропия секций?
Если AB detect - недоступен, то что?

#3: Author: Mellomann,

Posted: Sun Apr 07, 2013 17:37
—

Flasher wrote:

<..> Формат wdx <..>

Согласен, одного WDX маловато будет. Неплохо было бы ещё по совместительству (можно даже в тот же файл) прикрутить WLX для удобного пред-просмотра в соседней панели или в окне листера.

Flasher wrote:

кракозябры

И переключение (или автодетект) кодировки не помешал бы тогда.

з.ы.

Flasher wrote:

АВ детект: OK

по какому пункту это определяется? Где конкретно можно взять подобную инфу?

#4: Author: Flasher, Location: Москва

Posted: Sun Apr 07, 2013 18:00
—

Mellomann wrote:

по какому пункту это определяется?

Пункту чего?

Mellomann wrote:

Где конкретно можно взять подобную инфу?

Подобную - это какую?

#5: Author: Kick10,

Posted: Sun Apr 07, 2013 18:24
—
Flasher
Странно как у вас получилось его запустить под юникодным TC, плагин вообще юникод функции не реализует.

если АВ-детект недоступен - значит в базе VT этого файла нету.

#6: Author: Mellomann,

Posted: Sun Apr 07, 2013 18:26
—
И сразу после первых впечатлений - пожелание добавить некую БД с кешем получаемых значений (как у media.wdx, например, или как у TCMediaInfo.wdx), чтобы каждый раз не запрашивать на проверку виртотала, а сравнивать кеш с фактом. Полезно, когда в папке много файлов.

#7: Author: Flasher, Location: Москва

Posted: Sun Apr 07, 2013 18:30
—

Kick10 wrote:

Странно как у вас получилось его запустить под юникодным TC, плагин вообще юникод функции не реализует.

Все контентные плагины запускаются под ним, не вижу проблемы.

#8: Author: Kick10,

Posted: Sun Apr 07, 2013 18:38
—
Юникод версия TC должна вызывать функцию ContentGetValueW, но в плагине такой нету, есть ContentGetValue, это неюникод версия. Т.е. по идее юникодный ТС вообще не должен его опознавать как валидный плагин. Как бы там нибыло - поддержки юникода сейчас нет.

Mellomann
ДБ c кешем есть - находится в файле verdicts.

#9: Author: Flasher, Location: Москва

Posted: Sun Apr 07, 2013 18:47
—
Kick10
Сам ТС поддерживает Юникод. В данном случае речь о файлах локализации (lng, mnu, inc). Я вообще таких проблем именно для отображения wdx-колонок не припомню.

#10: Author: Kick10,

Posted: Sun Apr 07, 2013 18:54
—
Насчет скорости работы АВ detect можно поиграться с опциями в bitchaos.ini:

EnablePrecache = [1|0]
Включает/отключает упреждающее кеширование, т.е. когда заходишь в папку - плагин начинает в фоне запрашивать детект на все файлы в папке. Если нужно прочекать папку где много файлов - это быстрее чем скролить, но это может замедлять отображение результов для видимых файлов в панели.

WorkerThreads = [1|0]
Кол-во потоков выполняющих фоновые операции, по умолчанию их 2 на каждое ядро ЦП, если их слишком много или мало то могут возникать тормоза, пока я сам не определился с оптимальным значением, так что тоже можете поэкспериментировать.

Добавлено спустя 2 минуты:

Quote:

В данном случае речь о файлах локализации (lng, mnu, inc

аа, ок, гляну...

#11: Author: Flasher, Location: Москва

Posted: Sun Apr 07, 2013 19:02
—
Со скоростью позже поиграюсь.

Kick10 wrote:

аа, ок, гляну...

Тут нужно учесть, что bitchaos.lng сохраняется в UTF-8.

#12: Author: kotlomoy,

Posted: Sun Apr 14, 2013 21:33
—
Сам думал как-нибудь Virus Total плагин сделать. Времени только нет.
Засунул AV detect во всплывающую подсказку, в принципе неплохо работает. Неплохо бы конечно wlx такой же, чтобы можно было рескан вызывать и файлы на VT подгружать.

Вопрос: где этот verdicts найти? В папке плагина его нет. Question

#13: Author: Kick10,

Posted: Mon Apr 15, 2013 13:23
—

Quote:

Сам думал как-нибудь Virus Total плагин сделать. Времени только нет.

Та вот и я так же, ждал пока кто-то сделает а потом решил сам сделать Smile

Quote:

Засунул AV detect во всплывающую подсказку, в принципе неплохо работает

а как это сделать?

Quote:

где этот verdicts найти?

Должен появиться в папке плагина после первого использования AV detect. А куда он у вас установлен?

#14: Author: jentoso,

Posted: Mon Apr 15, 2013 15:02
—
Kick10, вопрос по детекту файла антивирусами. Плагин просто подсчитывает хэш и сравнивает его с virustotal или же он отправляет файл?

#15: Author: Kick10,

Posted: Mon Apr 15, 2013 15:21
—
Файл он не отправляет, только хеш

Total Commander -> Плагины Total Commander

output generated using printer-friendly topic mod. All times are GMT + 4 Hours

Goto page 1, 2 Next :| |: Page 1 of 2