View previous topic :: View next topic |
Author |
Message |
Kick10
Joined: 07 Apr 2013 Posts: 6
|
(Separately) Posted: Sun Apr 07, 2013 11:04 Post subject: [WDX] Bitchaos |
|
|
Контентный плагин, с джентельменским набором функций для определения вредоносного ПО
Умеет определять исполняемые файлы Windows PE, в не зависимости от их расширения и показывать о них следующую информацию:
- является ли файл упакованным или зашифрованным(определяет эвристически)
- валидность цифровой подписи
- имя PE секции в который находится точка входа(полезно для определения заражения файловыми вирусами)
- список PE секций и их энтропия в процентах
- наличие у файла информации о версии и создателе(саму информацию не отображает, только сам факт ее наличия для удобства расширенного поиска)
- краткую информацию о использовании файлом определенных winapi-функций(работает ли файл с сетью, файлами, реестром, процессами). Здесь анализируется таблица импортов, так что динамически загружаемые библиотеки не учитываются. Список проверяемых api функций можно редактировать в файле funcgroups.json
- детект файла антивирусами. Плагин пробивает детект файла по md5 используя сервисы hxxp://www.virustotal.com(проверка 50+ антивирусами). Эта функция может работать очень медленно при плохом интернет соединении. Детекты кешируются на компьютере пользователя, если нужно пересканировать файлы, то нужно самому удалить файл кеша "verdicts" в папке плагина.
Так же можно использовать колонки плагина для расширенного поиска и подсветки файлов.
Пожалуйста про баги сообщайте сюда. |
|
Back to top |
|
|
Flasher
Joined: 06 Nov 2009 Posts: 14229 Location: Москва
|
(Separately) Posted: Sun Apr 07, 2013 15:52 Post subject: |
|
|
Kick10, приветствую на форуме.
Что вижу. Грузится долго. Формат wdx, ИМХО, не для подобных нужд.
При юникодном TC (UTF-8 ) - кракозябры:
Имя 1394bus.sys
Упакован: РќРµС
Подпись: Действительна
Точка входа INIT: [7/9]
Энтропия секций:
.text=81%|.rdata=54%|.data=21%|.guids=4%|PAGE=79%|.edata=18%|INIT=64%|.rsrc=42%|.reloc=71%
Информация о версии: Да
Импорты: <пусто>
АВ детект: OK
Что даёт энтропия секций?
Если AB detect - недоступен, то что? _________________ Автору сборки TC Image (Andrey_A) настоятельно рекомендуется не распространять на иных ресурсах любую предоставленную мной где-либо техническую информацию по автоматизации и оптимизации в работе с ТС и системой. |
|
Back to top |
|
|
Mellomann
Joined: 07 Sep 2009 Posts: 708
|
(Separately) Posted: Sun Apr 07, 2013 17:37 Post subject: |
|
|
Flasher wrote: | <..> Формат wdx <..> | Согласен, одного WDX маловато будет. Неплохо было бы ещё по совместительству (можно даже в тот же файл) прикрутить WLX для удобного пред-просмотра в соседней панели или в окне листера.
Flasher wrote: | кракозябры | И переключение (или автодетект) кодировки не помешал бы тогда.
з.ы. Flasher wrote: | АВ детект: OK | по какому пункту это определяется? Где конкретно можно взять подобную инфу? |
|
Back to top |
|
|
Flasher
Joined: 06 Nov 2009 Posts: 14229 Location: Москва
|
(Separately) Posted: Sun Apr 07, 2013 18:00 Post subject: |
|
|
Mellomann wrote: | по какому пункту это определяется? | Пункту чего? Mellomann wrote: | Где конкретно можно взять подобную инфу? | Подобную - это какую? _________________ Автору сборки TC Image (Andrey_A) настоятельно рекомендуется не распространять на иных ресурсах любую предоставленную мной где-либо техническую информацию по автоматизации и оптимизации в работе с ТС и системой. |
|
Back to top |
|
|
Kick10
Joined: 07 Apr 2013 Posts: 6
|
(Separately) Posted: Sun Apr 07, 2013 18:24 Post subject: |
|
|
Flasher
Странно как у вас получилось его запустить под юникодным TC, плагин вообще юникод функции не реализует.
если АВ-детект недоступен - значит в базе VT этого файла нету. |
|
Back to top |
|
|
Mellomann
Joined: 07 Sep 2009 Posts: 708
|
(Separately) Posted: Sun Apr 07, 2013 18:26 Post subject: |
|
|
И сразу после первых впечатлений - пожелание добавить некую БД с кешем получаемых значений (как у media.wdx, например, или как у TCMediaInfo.wdx), чтобы каждый раз не запрашивать на проверку виртотала, а сравнивать кеш с фактом. Полезно, когда в папке много файлов. |
|
Back to top |
|
|
Flasher
Joined: 06 Nov 2009 Posts: 14229 Location: Москва
|
(Separately) Posted: Sun Apr 07, 2013 18:30 Post subject: |
|
|
Kick10 wrote: | Странно как у вас получилось его запустить под юникодным TC, плагин вообще юникод функции не реализует. | Все контентные плагины запускаются под ним, не вижу проблемы. _________________ Автору сборки TC Image (Andrey_A) настоятельно рекомендуется не распространять на иных ресурсах любую предоставленную мной где-либо техническую информацию по автоматизации и оптимизации в работе с ТС и системой. |
|
Back to top |
|
|
Kick10
Joined: 07 Apr 2013 Posts: 6
|
(Separately) Posted: Sun Apr 07, 2013 18:38 Post subject: |
|
|
Юникод версия TC должна вызывать функцию ContentGetValueW, но в плагине такой нету, есть ContentGetValue, это неюникод версия. Т.е. по идее юникодный ТС вообще не должен его опознавать как валидный плагин. Как бы там нибыло - поддержки юникода сейчас нет.
Mellomann
ДБ c кешем есть - находится в файле verdicts. |
|
Back to top |
|
|
Flasher
Joined: 06 Nov 2009 Posts: 14229 Location: Москва
|
(Separately) Posted: Sun Apr 07, 2013 18:47 Post subject: |
|
|
Kick10
Сам ТС поддерживает Юникод. В данном случае речь о файлах локализации (lng, mnu, inc). Я вообще таких проблем именно для отображения wdx-колонок не припомню. _________________ Автору сборки TC Image (Andrey_A) настоятельно рекомендуется не распространять на иных ресурсах любую предоставленную мной где-либо техническую информацию по автоматизации и оптимизации в работе с ТС и системой. |
|
Back to top |
|
|
Kick10
Joined: 07 Apr 2013 Posts: 6
|
(Separately) Posted: Sun Apr 07, 2013 18:54 Post subject: |
|
|
Насчет скорости работы АВ detect можно поиграться с опциями в bitchaos.ini:
EnablePrecache = [1|0]
Включает/отключает упреждающее кеширование, т.е. когда заходишь в папку - плагин начинает в фоне запрашивать детект на все файлы в папке. Если нужно прочекать папку где много файлов - это быстрее чем скролить, но это может замедлять отображение результов для видимых файлов в панели.
WorkerThreads = [1|0]
Кол-во потоков выполняющих фоновые операции, по умолчанию их 2 на каждое ядро ЦП, если их слишком много или мало то могут возникать тормоза, пока я сам не определился с оптимальным значением, так что тоже можете поэкспериментировать.
Добавлено спустя 2 минуты:
Quote: | В данном случае речь о файлах локализации (lng, mnu, inc |
аа, ок, гляну... |
|
Back to top |
|
|
Flasher
Joined: 06 Nov 2009 Posts: 14229 Location: Москва
|
(Separately) Posted: Sun Apr 07, 2013 19:02 Post subject: |
|
|
Со скоростью позже поиграюсь.
Kick10 wrote: | аа, ок, гляну... | Тут нужно учесть, что bitchaos.lng сохраняется в UTF-8. _________________ Автору сборки TC Image (Andrey_A) настоятельно рекомендуется не распространять на иных ресурсах любую предоставленную мной где-либо техническую информацию по автоматизации и оптимизации в работе с ТС и системой. |
|
Back to top |
|
|
kotlomoy
Joined: 08 Mar 2008 Posts: 44
|
(Separately) Posted: Sun Apr 14, 2013 21:33 Post subject: |
|
|
Сам думал как-нибудь Virus Total плагин сделать. Времени только нет.
Засунул AV detect во всплывающую подсказку, в принципе неплохо работает. Неплохо бы конечно wlx такой же, чтобы можно было рескан вызывать и файлы на VT подгружать.
Вопрос: где этот verdicts найти? В папке плагина его нет. _________________ BranchViewExtended |
|
Back to top |
|
|
Kick10
Joined: 07 Apr 2013 Posts: 6
|
(Separately) Posted: Mon Apr 15, 2013 13:23 Post subject: |
|
|
Quote: | Сам думал как-нибудь Virus Total плагин сделать. Времени только нет. |
Та вот и я так же, ждал пока кто-то сделает а потом решил сам сделать
Quote: | Засунул AV detect во всплывающую подсказку, в принципе неплохо работает |
а как это сделать?
Quote: | где этот verdicts найти? |
Должен появиться в папке плагина после первого использования AV detect. А куда он у вас установлен? |
|
Back to top |
|
|
jentoso
Joined: 20 Dec 2007 Posts: 351
|
(Separately) Posted: Mon Apr 15, 2013 15:02 Post subject: |
|
|
Kick10, вопрос по детекту файла антивирусами. Плагин просто подсчитывает хэш и сравнивает его с virustotal или же он отправляет файл? _________________ TC 11.03 combo, Windows 10 x64 |
|
Back to top |
|
|
Kick10
Joined: 07 Apr 2013 Posts: 6
|
(Separately) Posted: Mon Apr 15, 2013 15:21 Post subject: |
|
|
Файл он не отправляет, только хеш |
|
Back to top |
|
|
|