Total Commander Forum Index Total Commander
Форум поддержки пользователей Total Commander
Сайты: Все о Total Commander | Totalcmd.net | Ghisler.com | RU.TCKB
 
 RulesRules   SearchSearch   FAQFAQ   MemberlistMemberlist   UsergroupsUsergroups   RegisterRegister 
 ProfileProfile   Log in to check your private messagesLog in to check your private messages   Log inLog in 

[WDX] Bitchaos
Goto page 1, 2  Next
 
Post new topic   Reply to topic    Total Commander Forum Index -> Плагины Total Commander printer-friendly view
View previous topic :: View next topic  
Author Message
Kick10



Joined: 07 Apr 2013
Posts: 6

Post (Separately) Posted: Sun Apr 07, 2013 11:04    Post subject: [WDX] Bitchaos Reply with quote

Контентный плагин, с джентельменским набором функций для определения вредоносного ПО Smile

Умеет определять исполняемые файлы Windows PE, в не зависимости от их расширения и показывать о них следующую информацию:
- является ли файл упакованным или зашифрованным(определяет эвристически)
- валидность цифровой подписи
- имя PE секции в который находится точка входа(полезно для определения заражения файловыми вирусами)
- список PE секций и их энтропия в процентах
- наличие у файла информации о версии и создателе(саму информацию не отображает, только сам факт ее наличия для удобства расширенного поиска)
- краткую информацию о использовании файлом определенных winapi-функций(работает ли файл с сетью, файлами, реестром, процессами). Здесь анализируется таблица импортов, так что динамически загружаемые библиотеки не учитываются. Список проверяемых api функций можно редактировать в файле funcgroups.json
- детект файла антивирусами. Плагин пробивает детект файла по md5 используя сервисы hxxp://www.virustotal.com(проверка 50+ антивирусами). Эта функция может работать очень медленно при плохом интернет соединении. Детекты кешируются на компьютере пользователя, если нужно пересканировать файлы, то нужно самому удалить файл кеша "verdicts" в папке плагина.
Так же можно использовать колонки плагина для расширенного поиска и подсветки файлов.

Пожалуйста про баги сообщайте сюда.
Back to top
View user's profile Send private message
Flasher



Joined: 06 Nov 2009
Posts: 14229
Location: Москва

Post (Separately) Posted: Sun Apr 07, 2013 15:52    Post subject: Reply with quote

Kick10, приветствую на форуме.

Что вижу. Грузится долго. Формат wdx, ИМХО, не для подобных нужд.

При юникодном TC (UTF-8 ) - кракозябры:
Имя 1394bus.sys
Упакован: РќРµС
Подпись: Действительна
Точка входа INIT: [7/9]
Энтропия секций:
.text=81%|.rdata=54%|.data=21%|.guids=4%|PAGE=79%|.edata=18%|INIT=64%|.rsrc=42%|.reloc=71%
Информация о версии: Да
Импорты: <пусто>
АВ детект: OK

Что даёт энтропия секций?
Если AB detect - недоступен, то что?
_________________
Автору сборки TC Image (Andrey_A) настоятельно рекомендуется не распространять на иных ресурсах любую предоставленную мной где-либо техническую информацию по автоматизации и оптимизации в работе с ТС и системой.
Back to top
View user's profile Send private message
Mellomann



Joined: 07 Sep 2009
Posts: 708

Post (Separately) Posted: Sun Apr 07, 2013 17:37    Post subject: Reply with quote

Flasher wrote:
<..> Формат wdx <..>
Согласен, одного WDX маловато будет. Неплохо было бы ещё по совместительству (можно даже в тот же файл) прикрутить WLX для удобного пред-просмотра в соседней панели или в окне листера.
Flasher wrote:
кракозябры
И переключение (или автодетект) кодировки не помешал бы тогда.

з.ы.
Flasher wrote:
АВ детект: OK
по какому пункту это определяется? Где конкретно можно взять подобную инфу?
Back to top
View user's profile Send private message
Flasher



Joined: 06 Nov 2009
Posts: 14229
Location: Москва

Post (Separately) Posted: Sun Apr 07, 2013 18:00    Post subject: Reply with quote

Mellomann wrote:
по какому пункту это определяется?
Пункту чего?
Mellomann wrote:
Где конкретно можно взять подобную инфу?
Подобную - это какую?
_________________
Автору сборки TC Image (Andrey_A) настоятельно рекомендуется не распространять на иных ресурсах любую предоставленную мной где-либо техническую информацию по автоматизации и оптимизации в работе с ТС и системой.
Back to top
View user's profile Send private message
Kick10



Joined: 07 Apr 2013
Posts: 6

Post (Separately) Posted: Sun Apr 07, 2013 18:24    Post subject: Reply with quote

Flasher
Странно как у вас получилось его запустить под юникодным TC, плагин вообще юникод функции не реализует.

если АВ-детект недоступен - значит в базе VT этого файла нету.
Back to top
View user's profile Send private message
Mellomann



Joined: 07 Sep 2009
Posts: 708

Post (Separately) Posted: Sun Apr 07, 2013 18:26    Post subject: Reply with quote

И сразу после первых впечатлений - пожелание добавить некую БД с кешем получаемых значений (как у media.wdx, например, или как у TCMediaInfo.wdx), чтобы каждый раз не запрашивать на проверку виртотала, а сравнивать кеш с фактом. Полезно, когда в папке много файлов.
Back to top
View user's profile Send private message
Flasher



Joined: 06 Nov 2009
Posts: 14229
Location: Москва

Post (Separately) Posted: Sun Apr 07, 2013 18:30    Post subject: Reply with quote

Kick10 wrote:
Странно как у вас получилось его запустить под юникодным TC, плагин вообще юникод функции не реализует.
Все контентные плагины запускаются под ним, не вижу проблемы.
_________________
Автору сборки TC Image (Andrey_A) настоятельно рекомендуется не распространять на иных ресурсах любую предоставленную мной где-либо техническую информацию по автоматизации и оптимизации в работе с ТС и системой.
Back to top
View user's profile Send private message
Kick10



Joined: 07 Apr 2013
Posts: 6

Post (Separately) Posted: Sun Apr 07, 2013 18:38    Post subject: Reply with quote

Юникод версия TC должна вызывать функцию ContentGetValueW, но в плагине такой нету, есть ContentGetValue, это неюникод версия. Т.е. по идее юникодный ТС вообще не должен его опознавать как валидный плагин. Как бы там нибыло - поддержки юникода сейчас нет.

Mellomann
ДБ c кешем есть - находится в файле verdicts.
Back to top
View user's profile Send private message
Flasher



Joined: 06 Nov 2009
Posts: 14229
Location: Москва

Post (Separately) Posted: Sun Apr 07, 2013 18:47    Post subject: Reply with quote

Kick10
Сам ТС поддерживает Юникод. В данном случае речь о файлах локализации (lng, mnu, inc). Я вообще таких проблем именно для отображения wdx-колонок не припомню.
_________________
Автору сборки TC Image (Andrey_A) настоятельно рекомендуется не распространять на иных ресурсах любую предоставленную мной где-либо техническую информацию по автоматизации и оптимизации в работе с ТС и системой.
Back to top
View user's profile Send private message
Kick10



Joined: 07 Apr 2013
Posts: 6

Post (Separately) Posted: Sun Apr 07, 2013 18:54    Post subject: Reply with quote

Насчет скорости работы АВ detect можно поиграться с опциями в bitchaos.ini:

EnablePrecache = [1|0]
Включает/отключает упреждающее кеширование, т.е. когда заходишь в папку - плагин начинает в фоне запрашивать детект на все файлы в папке. Если нужно прочекать папку где много файлов - это быстрее чем скролить, но это может замедлять отображение результов для видимых файлов в панели.

WorkerThreads = [1|0]
Кол-во потоков выполняющих фоновые операции, по умолчанию их 2 на каждое ядро ЦП, если их слишком много или мало то могут возникать тормоза, пока я сам не определился с оптимальным значением, так что тоже можете поэкспериментировать.

Добавлено спустя 2 минуты:

Quote:
В данном случае речь о файлах локализации (lng, mnu, inc

аа, ок, гляну...
Back to top
View user's profile Send private message
Flasher



Joined: 06 Nov 2009
Posts: 14229
Location: Москва

Post (Separately) Posted: Sun Apr 07, 2013 19:02    Post subject: Reply with quote

Со скоростью позже поиграюсь.
Kick10 wrote:
аа, ок, гляну...
Тут нужно учесть, что bitchaos.lng сохраняется в UTF-8.
_________________
Автору сборки TC Image (Andrey_A) настоятельно рекомендуется не распространять на иных ресурсах любую предоставленную мной где-либо техническую информацию по автоматизации и оптимизации в работе с ТС и системой.
Back to top
View user's profile Send private message
kotlomoy



Joined: 08 Mar 2008
Posts: 44

Post (Separately) Posted: Sun Apr 14, 2013 21:33    Post subject: Reply with quote

Сам думал как-нибудь Virus Total плагин сделать. Времени только нет.
Засунул AV detect во всплывающую подсказку, в принципе неплохо работает. Неплохо бы конечно wlx такой же, чтобы можно было рескан вызывать и файлы на VT подгружать.

Вопрос: где этот verdicts найти? В папке плагина его нет. Question
_________________
BranchViewExtended
Back to top
View user's profile Send private message
Kick10



Joined: 07 Apr 2013
Posts: 6

Post (Separately) Posted: Mon Apr 15, 2013 13:23    Post subject: Reply with quote

Quote:
Сам думал как-нибудь Virus Total плагин сделать. Времени только нет.

Та вот и я так же, ждал пока кто-то сделает а потом решил сам сделать Smile

Quote:
Засунул AV detect во всплывающую подсказку, в принципе неплохо работает

а как это сделать?

Quote:
где этот verdicts найти?

Должен появиться в папке плагина после первого использования AV detect. А куда он у вас установлен?
Back to top
View user's profile Send private message
jentoso



Joined: 20 Dec 2007
Posts: 346

Post (Separately) Posted: Mon Apr 15, 2013 15:02    Post subject: Reply with quote

Kick10, вопрос по детекту файла антивирусами. Плагин просто подсчитывает хэш и сравнивает его с virustotal или же он отправляет файл?
_________________
TC 11.03 combo, Windows 10 x64
Back to top
View user's profile Send private message
Kick10



Joined: 07 Apr 2013
Posts: 6

Post (Separately) Posted: Mon Apr 15, 2013 15:21    Post subject: Reply with quote

Файл он не отправляет, только хеш
Back to top
View user's profile Send private message
Display posts from previous:   
Post new topic   Reply to topic    Total Commander Forum Index -> Плагины Total Commander All times are GMT + 4 Hours
Goto page 1, 2  Next
Page 1 of 2

 
Jump to:  
You cannot post new topics in this forum
You cannot reply to topics in this forum
You cannot edit your posts in this forum
You cannot delete your posts in this forum
You cannot vote in polls in this forum


Powered by phpBB © 2001, 2005 phpBB Group