https://razrabotka.f-rpg.me/ Разработка C# , C++ и прочие ru-ru Thu, 25 Jul 2013 23:24:26 +0400 MyBB/mybb.ru https://razrabotka.f-rpg.me/viewtopic.php?pid=16#p16 <p>спасибо полезная информация :D</p> mybb@mybb.ru (waryagqw) Thu, 25 Jul 2013 23:24:26 +0400 https://razrabotka.f-rpg.me/viewtopic.php?pid=16#p16 https://razrabotka.f-rpg.me/viewtopic.php?pid=14#p14 <p>Итак,я думаю у каждого человека есть свои секреты,и читы,которих нет на форуме,чтобы развивать наш форум нужны пользователи,и потому, в этой теме я научу вас,как правильно оформлять темы</p> <p>Есле вы хотите создать тему,в левом углу сверху,есть кнопка:<br />,,Создать новую тему,,<br />-Жмём туда<br />Префикс <br />= Undetected <br />(чит не спалили и он работает)</p> <p>=Detected<br />(чит профиксили,и он не работает)</p> <p>=Use at own risk </p> <p>(Используйте на свой риск,он работает например,<br />но могут быть трудности)</p> <p>Заголовок: <br />,,Писать название чита,без лишниш знаков,,</p> <p>ТЕМА ДОЛЖНА ИМЕТЬ : :nea:</p> <p>-ФУНКЦИИ ЧИТА или Програмы<br />-ИНСТРУКЦИЯ<br />-СКРИНШОТ ИЛИ ВИДЕО С ИГРЫ<br /><a href="http://www.radikal.ru/" rel="nofollow" target="_blank">http://www.radikal.ru/</a><br /><a href="http://pixic.ru/" rel="nofollow" target="_blank">http://pixic.ru/</a></p> <p>ЧТОБЫ ВСТАВИТЬ СКРИН,ЗАЛИВАЕМ НА ФОТОХОСТИНГ,ССЫЛКИСВЕРХУ,К ОПИРУЕМ ССЫЛКУ НА СКРИН,ЖМЁМ СВЕРХУ НА ФОТКУ ( 3 ЗНАК ПОСЛЕ ПЛАНЕТКИ) И ВСТАВЛЯЕМ НАШУ ССЫЛКУ</p> <p>-ССЫЛКА НА СКАЧКУ: <br /><a href="http://zalil.ru/" rel="nofollow" target="_blank">http://zalil.ru/</a><br /><a href="http://rghost.ru/" rel="nofollow" target="_blank">http://rghost.ru/</a><br /><a href="http://ffiles.ru/" rel="nofollow" target="_blank">http://ffiles.ru/</a><br />Админы и модераторы - могут заливать на платные ФО<br />- ВИРУС ТОТАЛ или ВИРУС СКАН<br /><a href="https://www.virustotal.com/" rel="nofollow" target="_blank">https://www.virustotal.com/</a><br /><a href="http://virusscan.jotti.org/ru" rel="nofollow" target="_blank">http://virusscan.jotti.org/ru</a></p> <p>КАК ВСТАВИТЬ ССЫЛКУ?<br />1)ЗАЛИВАЕМ НА ФО.<br />2)КОПИРУЕМ ССЫЛКУ<br />3)ЖМЁМ НА ПЛАНЕТКУ И ВСТАВЛЯЕМ ССЫКУ<br />4)ГОТОВО</p> <p>МЕТКИ: :ohmy:<br />Можно вставить метку (название чита например,или функции какие имеет)</p> <p>Иконки: <br />Вставляем подходящую иконку=)</p> <p>СМЕЛО ЖМЁМ СОЗДАТЬ ТЕМУ !!!! ЕСЛЕ БУДУТ НЕДОРАБОТКИ СООБЩИТЕ В КОМЕНТАРИЯХ,Я ИСПРАВЛЮ!<br />ПО ВОПРОСАМ В ЛС: КУРАТОРАМ,МОДЕРАТОРАМ,АДМИ НУ<br />ЕСЛЕ ТЕМА БУДТ ОФОРМЛЕНА ПО ВСЕМ ПРАВИЛАМ ЖДИТЕ ОТ МЕНЯ + И СПС!</p> <p>В противных случаях ,т.е тема без:</p> <p>-Скриншотов <br />-Без инстукции<br />-Без ссылки на бесплатный фо<br />-Без Вирус Сканера</p> <p>Будет закрываться мною или модераторами и ставится под статус детектед!</p> <p>СПАСИБО ЗА ВНИМАНИЕ!!!!</p> mybb@mybb.ru (Hrom) Thu, 25 Jul 2013 21:34:52 +0400 https://razrabotka.f-rpg.me/viewtopic.php?pid=14#p14 https://razrabotka.f-rpg.me/viewtopic.php?pid=13#p13 <p></p> mybb@mybb.ru (Hrom) Thu, 25 Jul 2013 20:51:33 +0400 https://razrabotka.f-rpg.me/viewtopic.php?pid=13#p13 https://razrabotka.f-rpg.me/viewtopic.php?pid=12#p12 <p>Для подачи своей кандидатуры от вас нужно предоставить в данной теме такие данные:<br />1 Имя <br />2 сколько лет<br />3 Категории на форуме в которых вы хотите быть модератором <br />4 сколько будеш уделять времени форуму <br />5 стаж игры crossfire , сколько играеш с читами </p> <p>С уважением, Администрация</p> mybb@mybb.ru (Hrom) Thu, 25 Jul 2013 20:26:33 +0400 https://razrabotka.f-rpg.me/viewtopic.php?pid=12#p12 https://razrabotka.f-rpg.me/viewtopic.php?pid=3#p3 <p>Привет всем сегодня я вам раскажу как создать музыкальный плеер в программе PHP Devil Studio.<br />И так начнем<br />Создаем три спид кнопки и называем их: выбрать песню,стоп,Пауза/Далее<br />Диалог открытия<br />И SQUALL плеер</p> <p>Потом делаем так<br />Нажимаем Диалог открытия,к параметру &quot;Фильтр&quot; пишем Музыка |*.mp3;*.wav<br />Чтобы можно было выбирать только музыкальные файлы делаем так</p> <p>К первой кнопке Выбрать песню создаём событие на клик и в редактор PHP кода пишем:</p> <p>Нажмите здесь для просмотра полного текста<br />Код:<br />$dialog = c(&quot;openDlg1&quot;)-&gt;execute();<br />c(&quot;sqPlayer1&quot;)-&gt;open(c(&quot;openDlg1&quot;)-&gt;fileName);<br />c(&quot;sqPlayer1&quot;)-&gt;play();</p> <p>Ко второй кнопке Стоп тоже создаём событие на клик а редактор PHP кода вставляем это:<br />Код:<br />Нажмите здесь для просмотра полного текста<br />Код:<br />c(&quot;sqPlayer1&quot;)-&gt;stop();<br />К третей кнопке так же но в редактор PHP кода пишем вот такое:<br />code:<br />c(&quot;sqPlayer1&quot;)-&gt;pause();</p> <p>Жмем F9 чтобы проверить<br />Потом сохраняем програму<br />Сохраняем исходник програму<br />Включаем и наслаждаемся музыкой</p> mybb@mybb.ru (Hrom) Wed, 24 Jul 2013 16:43:19 +0400 https://razrabotka.f-rpg.me/viewtopic.php?pid=3#p3 https://razrabotka.f-rpg.me/viewtopic.php?pid=2#p2 <p>В статье рассматривается процесс написания простого антивирусного сканера.<br />Задача статьи состоит в объяснении базовых принципов работы антивирусных программ, использующих сигнатуры для обнаружения вредоносного кода.<br />Помимо самого сканера мы также напишем программку для создания базы сигнатур.</p> <p>В силу простоты алгоритма проверки наш сканер сможет обнаруживать только вредоносные программы, распространяющиеся цельным файлом, т.е. не заражающие другие файлы, как PE-Вирусы, и не изменяющие свое тело в процессе деятельности, как полиморфные вирусы.<br />Впрочем, это относится к большинству вирусов, червей и практически ко всем троянам, поэтому написанный нами сканер имеет право на жизнь :)</p> <p>Что такое сигнатура<br />Сигнатура в простом представлении является уникальной частью (последовательностью байт) в файле.<br />Однако эта часть должна максимально однозначно выделять файл среди множества других файлов.<br />Это значит, что выбранная последовательность должна присутствовать только в одном файле, которому она принадлежит, и ни в каких других.</p> <p>На практике помимо самой последовательности применяются ещё дополнительные параметры, позволяющие максимально однозначно сопоставлять сигнатуру файлу.<br />Введение дополнительных параметров также направлено на ускорение поиска сигнатуры в файле.<br />Такими параметрами, например, могут являться размер файла, смещение последовательности байт, тип файла, специальные маски (отражение того, как примерно должен выглядеть файл, чтобы в нём могла содержаться искомая сигнатура) и многие другие.</p> <p>В нашем сканере в качестве дополнительного параметра мы будем использовать смещение последовательности в файле относительно начала.<br />Данный метод довольно универсален в том плане, что подходит абсолютно для любых файлов независимо от типа.<br />Однако у использования смещения есть один очень значимый минус: чтобы &quot;обмануть&quot; сканер, достаточно слегка &quot;передвинуть&quot; последовательность байт в файле, т.е. изменить смещение последовательности (например, перекомпилировав вирус или добавив символ в случае скрипт-вируса).</p> <p>Для экономии памяти и повышения скорости обнаружения на практике обычно используется контрольная сумма (хэш) последовательности.<br />Таким образом перед добавлением сигнатуры в базу считается контрольная сумма выбранного участка файла. Это также помогает не обнаруживать вредоносный код в собственных базах :)</p> <p>Антивирусная база<br />Антивирусная база представляет собой один или несколько файлов, содержащих записи о всех известных сканеру вирусах.<br />Каждая запись обязательно содержит имя вируса (пользователь же должен знать,что за зверь поселился у него в системе), также в записи обязательно присутствует сигнатура, по которой выполняется поиск.<br />Помимо имени и сигнатуры запись может содержать некоторую дополнительную информацию, например, инструкции по лечению.</p> <p>Алгоритм работы сканера<br />Алгоритм работы сканера, использующего сигнатуры, можно свести к нескольким пунктам:<br />1. Загрузка базы сигнатур<br />2. Открытие проверяемого файла<br />3. Поиск сигнатуры в открытом файле<br />4. Если сигнатура найдена <br />- принятие соответствующих мер<br />5. Если ни одна сигнатура из базы не найдена<br />- закрытие файла и переход к проверке следующего</p> <p>Как видите, общий принцип работы сканера весьма прост.</p> <p>Впрочем, достаточно теории. Переходим к практике.<br />Все дополнительные моменты будут разобраны в процессе написания сканера.</p> <p>Подготовка к реализации<br />Прежде чем начинать писать код, стоит определить все составные части сканера и то, как они будут взаимодействовать.</p> <p>Итак, для обнаружения вредоносных файлов нам необходим непосредственно сам сканер.<br />Сканеру для работы необходимы сигнатуры, которые хранятся в антивирусной базе.<br />База создается и наполняется специальной программой.<br />В итоге получается следующая зависимость:</p> <p>Программа создания базы -&gt; База -&gt; Сканер</p> <p>Однако прежде чем создавать базу, необходимо определиться с её форматом, который в свою очередь зависит от хранимой информации.</p> <p>Информация сигнатуры</p> <p>Сигнатура будет состоять из:<br />- Смещения последовательности в файле<br />- Размера последовательности<br />- Хэша последовательности</p> <p>Для хэширования будем использовать алгоритм MD5.<br />Каждый MD5-хэш состоит из 16 байт, или 4 двойных слов.<br />Для хранения смещения и размера последовательности отведём по 4 байта для каждого.</p> <p>Таким образом сигнатуру можно описать следующей структурой:</p> <p>Код:<br />[Offset * 4 ]<br />[Lenght * 4 ]<br />[Hash * 16 ]</p> <p>Запись антивирусной базы</p> <p>Запись будет содержать:<br />- Сигнатуру<br />- Размер имени файла<br />- Имя файла</p> <p>Под размер имени файла выделим 1 байт. Этого более чем достаточно, плюс экономия места =)<br />Имя файла может быть произвольного размера до 255 символов включительно.</p> <p>Получается следующая структура:</p> <p>Код:<br />[Signature]<br />[NameLen * 1 ]<br />[Name ... ]<br />После раскрытия структуры сигнатуры получается вот такая запись:</p> <p>Код:<br />[Offset * 4 ]<br />[Lenght * 4 ]<br />[Hash * 16]<br />[NameLen * 1 ]<br />[Name ... ]<br />Именно в таком виде одна за другой в файле будут лежать записи для всех известных сканеру зловредов.</p> <p>Помимо самих записей в файле базы должен быть заголовок, в котором будет содержаться число записей в базе и сигнатура файла &quot;AVB&quot; (не антивирусная :) ). Назначение сигнатуры – удостовериться, что это именно файл базы.</p> <p>Таким образом файл базы будет иметь структуру вида:</p> <p>Код:<br />[Sign * 3 ]<br />[RecordCount* 4 ]<br />[Records]<br />Переходим к написанию кода.</p> <p>Реализация<br />Базовые структуры<br />Структур немного, всего 2.<br />Данные структуры будут использоваться как сканером, так и программой создания антивирусной базы.<br />Во-первых, необходимо объявить все нужные нам структуры.</p> <p>Первой структурой будет структура сигнатуры SAVSignature.<br />Следующей структурой будет структура записи SAVRecord, объединяющая сигнатуру с именем.<br />Данная структура для удобства также содержит функцию выделения памяти под имя зловреда (allocName).</p> <p>Все структуры будут находиться в заголовочном файле avrecord.h</p> <p>Код:<br />#ifndef _AVRECORD_H__INCLUDED_<br />#define _AVRECORD_H__INCLUDED_<br />#include &lt;windows.h&gt;<br /> </p> <p>//! Структура сигнатуры<br />typedef struct SAVSignature{<br />&#160; &#160; &#160; &#160; SAVSignature(){<br />&#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; this-&gt;Offset = 0;<br />&#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; this-&gt;Lenght = 0;<br />&#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; memset(this-&gt;Hash, 0, sizeof(this-&gt;Hash));<br />&#160; &#160; &#160; &#160; }<br />&#160; &#160; &#160; &#160; DWORD&#160; &#160;Offset;&#160; &#160; &#160; &#160; &#160;// - Смещение&#160; файле<br />&#160; &#160; &#160; &#160; DWORD&#160; &#160;Hash[4];&#160; &#160; &#160; &#160; // - MD5 хэш<br />&#160; &#160; &#160; &#160; DWORD&#160; &#160;Lenght;&#160; &#160; &#160; &#160; &#160;// - Размер данных<br />} * PSAVSignature;</p> <p>//! Структура записи о зловреде<br />typedef struct SAVRecord{<br />&#160; &#160; &#160; &#160; SAVRecord(){<br />&#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; this-&gt;Name&#160; &#160; &#160; &#160; &#160; &#160;= NULL;<br />&#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; this-&gt;NameLen&#160; &#160; &#160; &#160; = 0;<br />&#160; &#160; &#160; &#160; }<br />&#160; &#160; &#160; &#160; ~SAVRecord(){<br />&#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; if(this-&gt;Name != NULL)&#160; this-&gt;Name;<br />&#160; &#160; &#160; &#160; }<br />&#160; &#160; &#160; &#160; //! Выделение памяти под имя<br />&#160; &#160; &#160; &#160; void&#160; &#160; allocName(BYTE NameLen){<br />&#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; if(this-&gt;Name == NULL){<br />&#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; this-&gt;NameLen&#160; &#160; &#160; &#160; = NameLen;<br />&#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; this-&gt;Name&#160; &#160; &#160; &#160; &#160; &#160;= new CHAR[this-&gt;NameLen + 1];<br />&#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; memset(this-&gt;Name, 0, this-&gt;NameLen + 1);<br />&#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; }<br />&#160; &#160; &#160; &#160; }<br />&#160; &#160; &#160; &#160; PSTR&#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; Name;&#160; &#160; &#160; &#160; &#160; &#160;// - Имя<br />&#160; &#160; &#160; &#160; BYTE&#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; NameLen;&#160; &#160; &#160; &#160; // - Размер имени<br />&#160; &#160; &#160; &#160; SAVSignature&#160; &#160; Signature;&#160; &#160; &#160; // - Сигнатура<br />&#160; &#160; &#160; &#160; <br />} * PSAVRecord;</p> <p>#endif<br />Класс работы с файлом базы<br />Теперь необходимо написать класс для работы с файлом антивирусной базы.<br />Если точнее, то классов будет несколько:<br />- Базовый класс файла &quot;CAVBFile&quot;<br />- Класс чтения файла &quot;CAVBFileReader&quot;<br />- Класс добавления записи &quot;CAVBFileWriter&quot;</p> <p>Объявления всех этих классов находятся в файле CAVBFile.h<br />Вот его содержимое:<br />Код:<br />#ifndef _AVBFILE_H__INCLUDED_<br />#define _AVBFILE_H__INCLUDED_<br />#include &lt;fstream&gt;<br />#include &lt;windows.h&gt;<br />#include &quot;avrecord.h&quot;<br />using namespace std;<br /> </p> <p>/*&#160; &#160; &#160; &#160; &#160; &#160; &#160; Формат файла антивирусной базы<br />&#160; &#160; &#160; &#160; <br />&#160; &#160; &#160; &#160; [AVB]&#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160;// - Сигнатура<br />&#160; &#160; &#160; &#160; [RecordCount&#160; &#160; * 4 ]&#160; &#160;// - Число записей<br />&#160; &#160; &#160; &#160; [Records&#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; ... ]</p> <p>&#160; &#160; &#160; &#160; Record:<br />&#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; [Offset&#160; &#160; &#160; &#160; &#160;* 4 ]&#160; &#160;// - Смещение<br />&#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; [Lenght&#160; &#160; &#160; &#160; &#160;* 4 ]&#160; &#160;// - Размер<br />&#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; [Hash&#160; &#160; &#160; &#160; &#160; &#160;* 16 ]&#160; // - Контрольная сумма<br />&#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; [NameLen&#160; &#160; &#160; &#160; * 1 ]&#160; &#160;// - Размер имени<br />&#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; [Name&#160; &#160; &#160; &#160; &#160; &#160;... ]&#160; &#160;// - Имя зловреда</p> <p>*/<br /> </p> <p>//! Класс Файла антивирусной базы<br />typedef class CAVBFile{<br />protected:<br />&#160; &#160; &#160; &#160; fstream&#160; &#160; &#160; &#160; &#160;hFile;&#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; // - Объект потока файла<br />&#160; &#160; &#160; &#160; DWORD&#160; &#160; &#160; &#160; &#160; &#160;RecordCount;&#160; &#160; // - Число записей<br />public:<br />&#160; &#160; &#160; &#160; CAVBFile();</p> <p>&#160; &#160; &#160; &#160; //! Закрытие файла<br />&#160; &#160; &#160; &#160; virtual void close();<br />&#160; &#160; &#160; &#160; //! Проверка состояния файла<br />&#160; &#160; &#160; &#160; virtual bool is_open();<br />&#160; &#160; &#160; &#160; //! Получение числа записей<br />&#160; &#160; &#160; &#160; virtual DWORD getRecordCount();<br />} * PCAVBFile;<br /> </p> <p>//! Класс для записи файла<br />typedef class CAVBFileWriter : public CAVBFile{<br />public:<br />&#160; &#160; &#160; &#160; CAVBFileWriter() : CAVBFile(){<br />&#160; &#160; &#160; &#160; }</p> <p>&#160; &#160; &#160; &#160; //! Открытие файла<br />&#160; &#160; &#160; &#160; bool&#160; &#160; open(PCSTR FileName);<br />&#160; &#160; &#160; &#160; //! Добавление записи в файл <br />&#160; &#160; &#160; &#160; bool&#160; &#160; addRecord(PSAVRecord&#160; &#160; Record);</p> <p>} * PCAVBFileWriter;</p> <p>//! Класс для чтения файла<br />typedef class CAVBFileReader : public CAVBFile{<br />public:<br />&#160; &#160; &#160; &#160; CAVBFileReader() : CAVBFile(){</p> <p>&#160; &#160; &#160; &#160; }<br />&#160; &#160; &#160; &#160; //! Открытие файла<br />&#160; &#160; &#160; &#160; bool&#160; &#160; open(PCSTR FileName);<br />&#160; &#160; &#160; &#160; //! Чтение записи<br />&#160; &#160; &#160; &#160; bool&#160; &#160; readNextRecord(PSAVRecord Record);</p> <p>} * PCAVBFileReader;<br /> </p> <p>#endif</p> <p>Теперь перейдем к реализации объявленных классов.<br />Их реализация будет находиться в файле AVBFile.cpp<br />Естественно, помним, что необходимо подключить заголовочный файл AVBFile.h</p> <p>В некоторых функциях нам понадобится проверка существования файла, поэтому сначала напишем именно её.</p> <p>Код:<br />//! Проверка существования файла<br />bool&#160; &#160; isFileExist(PCSTR FileName){<br />&#160; &#160; &#160; &#160; return GetFileAttributesA(FileName) != DWORD(-1);<br />};<br />Данный способ проверки существования файла является самым быстрым и используется в большинстве примеров в MSDN, так что его можно считать стандартом для Windows.<br />Функция GetFileAttributes возвращает атрибуты файла или 0xffffffff в случае, если файл не найден.</p> <p>Переходим к реализации функций базового класса.</p> <p>Код:</p> <p>CAVBFile::CAVBFile(){<br />&#160; &#160; &#160; &#160; this-&gt;RecordCount = 0;<br />}<br />//! Закрытие файла<br />void CAVBFile::close(){<br />&#160; &#160; &#160; &#160; if(hFile.is_open())&#160; &#160; &#160;hFile.close();<br />}<br />//! Проверка состояния файла<br />bool CAVBFile::is_open(){<br />&#160; &#160; &#160; &#160; return hFile.is_open();<br />}<br />//! Получение числа файлов<br />DWORD&#160; &#160;CAVBFile::getRecordCount(){<br />&#160; &#160; &#160; &#160; return this-&gt;RecordCount;<br />}<br />Здесь всё просто и в комментариях не нуждается.</p> <p>Теперь реализуем функции класса для записи файла</p> <p>Код:<br /> </p> <p>// <br />// - CAVBFileWriter<br />// </p> <p>//! Открытие файла<br />bool CAVBFileWriter::open(PCSTR FileName){<br />&#160; &#160; &#160; &#160; if(FileName == NULL) return false;<br />&#160; &#160; &#160; &#160; // - Если файл не найден то создаем его прототип<br />&#160; &#160; &#160; &#160; if(!isFileExist(FileName)){<br />&#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; hFile.open(FileName, ios::out | ios::binary);<br />&#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; if(!hFile.is_open()) return false;<br />&#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; hFile.write(&quot;AVB&quot;, 3);&#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; // - Сигнатура файла<br />&#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; hFile.write((PCSTR)&amp;this-&gt;RecordCount, sizeof(DWORD));&#160; &#160;// - Число записей<br />&#160; &#160; &#160; &#160; // - Иначе открываем и проверяем валидность<br />&#160; &#160; &#160; &#160; }else{<br />&#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; hFile.open(FileName, ios::in | ios::out | ios::binary);<br />&#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; if(!hFile.is_open()) return false;<br />&#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; // - Проверка сигнатуры<br />&#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; CHAR&#160; &#160; Sign[3];<br />&#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; hFile.read((PSTR)Sign, 3);<br />&#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; if(memcmp(Sign, &quot;AVB&quot;, 3)){<br />&#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; hFile.close();&#160; // - Это чужой файл<br />&#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; return false;<br />&#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; }<br />&#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; // - Читаем число записей<br />&#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; hFile.read((PSTR)&amp;this-&gt;RecordCount, sizeof(DWORD));<br />&#160; &#160; &#160; &#160; }<br />&#160; &#160; &#160; &#160; return true;<br />}</p> <p>bool CAVBFileWriter::addRecord(PSAVRecord Record){<br />&#160; &#160; &#160; &#160; if(Record == NULL || !hFile.is_open()) return false;<br />&#160; &#160; &#160; &#160; // - Перемещаемся в конец файла<br />&#160; &#160; &#160; &#160; hFile.seekp(0, ios::end);<br />&#160; &#160; &#160; &#160; // - Добавляем запись<br />&#160; &#160; &#160; &#160; hFile.write((PSTR)&amp;Record-&gt;Signature.Offset,&#160; &#160; &#160;sizeof(DWORD)); // - Смещение сигнатуры<br />&#160; &#160; &#160; &#160; hFile.write((PSTR)&amp;Record-&gt;Signature.Lenght,&#160; &#160; &#160;sizeof(DWORD)); // - Размер сигнатуры<br />&#160; &#160; &#160; &#160; hFile.write((PSTR)&amp;Record-&gt;Signature.Hash,&#160; 4 *&#160; sizeof(DWORD)); // - Контрольная сумма<br />&#160; &#160; &#160; &#160; hFile.write((PSTR)&amp;Record-&gt;NameLen, sizeof(BYTE));&#160; &#160; &#160; &#160;// - Размер имени<br />&#160; &#160; &#160; &#160; hFile.write((PSTR)Record-&gt;Name, Record-&gt;NameLen); // - Имя<br />&#160; &#160; &#160; &#160; // - Смещаемся к числу записей<br />&#160; &#160; &#160; &#160; hFile.seekp(3, ios::beg);<br />&#160; &#160; &#160; &#160; // - Увеличиваем счётчик записей<br />&#160; &#160; &#160; &#160; this-&gt;RecordCount++;<br />&#160; &#160; &#160; &#160; hFile.write((PSTR)&amp;this-&gt;RecordCount, sizeof(DWORD));</p> <p>&#160; &#160; &#160; &#160; return true;<br />}</p> <p>При открытии файла, если файл не найден, создается новый файл, и в него записывается заголовок файла (сигнатура и число записей).<br />Если же файл существует, то происходит проверка сигнатуры файла и чтение числа записей.</p> <p>Функция addRecord в качестве параметра принимает ссылку на структуру добавляемой записи.<br />Сначала происходит перемещение в конец файла (новые записи дописываются в конец файла).<br />Затем происходит запись данных в файл согласно оговорённому выше формату.<br />После записи происходит увеличение счётчика записей.</p> <p>Класс чтения записей немного проще.</p> <p>Код:<br />// <br />// - CAVBFileReader<br />// <br />bool&#160; &#160; CAVBFileReader::open(PCSTR FileName){<br />&#160; &#160; &#160; &#160; if(FileName == NULL) return false;<br />&#160; &#160; &#160; &#160; // - Если файл не найден, то создаем его прототип<br />&#160; &#160; &#160; &#160; if(isFileExist(FileName)){<br />&#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; hFile.open(FileName, ios::in | ios::out | ios::binary);<br />&#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; if(!hFile.is_open()) return false;<br />&#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; // - Проверка сигнатуры<br />&#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; CHAR&#160; &#160; Sign[3];<br />&#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; hFile.read((PSTR)Sign, 3);<br />&#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; if(memcmp(Sign, &quot;AVB&quot;, 3)){<br />&#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; hFile.close();&#160; // - Это чужой файл<br />&#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; return false;<br />&#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; }<br />&#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; // - Читаем число записей<br />&#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; hFile.read((PSTR)&amp;this-&gt;RecordCount, sizeof(DWORD));<br />&#160; &#160; &#160; &#160; }else{ return false; }<br />&#160; &#160; &#160; &#160; return true;<br />}</p> <p>bool&#160; &#160; CAVBFileReader::readNextRecord(PSAVRecord Record){<br />&#160; &#160; &#160; &#160; if(Record == NULL || !hFile.is_open()) return false;</p> <p>&#160; &#160; &#160; &#160; hFile.read((PSTR)&amp;Record-&gt;Signature.Offset,&#160; &#160; &#160; sizeof(DWORD)); // - Смещение сигнатуры<br />&#160; &#160; &#160; &#160; hFile.read((PSTR)&amp;Record-&gt;Signature.Lenght,&#160; &#160; &#160; sizeof(DWORD)); // - Размер сигнатуры<br />&#160; &#160; &#160; &#160; hFile.read((PSTR)&amp;Record-&gt;Signature.Hash,&#160; 4 *&#160; &#160;sizeof(DWORD)); // - Контрольная сумма<br />&#160; &#160; &#160; &#160; hFile.read((PSTR)&amp;Record-&gt;NameLen, sizeof(BYTE));&#160; &#160; &#160; &#160; // - Размер имени<br />&#160; &#160; &#160; &#160; Record-&gt;allocName(Record-&gt;NameLen);<br />&#160; &#160; &#160; &#160; hFile.read((PSTR)Record-&gt;Name, Record-&gt;NameLen);&#160; // - Имя<br />&#160; &#160; &#160; &#160; return true;<br />}<br />В данном случае, если при попытке открытия файла выясняется, что файл не существует, функция вернет значение false, свидетельствующее об ошибке.<br />Чтение записей происходит последовательно и обеспечивается функцией readNextRecord, которая в качестве параметра принимает ссылку на структуру записи, в которую будут прочитаны данные из файла.<br /></p> <p>На этом написание общего кода закончено.<br />Пора переходить к реализации программы создания записей и сканера.</p> <p>Реализация программы для создания базы</p> <p>Как было выяснено выше, сканнер без сигнатур не имеет смысла. Именно поэтому первым делом будет реализована программа для создания базы.</p> <p>В качестве параметров программа будет принимать путь до файла зловреда, путь до файла базы, смещение последовательности в файле зловреда, размер последовательности и, наконец, имя зловреда.<br />Аргументы передаются формате -A[Value], где A — это соответствующий ключ, а Value – значение.<br />Обозначим все аргументы:<br />-s = Путь до файла зловреда<br />-d = Путь до файла базы<br />-o = Смещение последовательности<br />-l = Размер последовательности<br />-n = Имя файла</p> <p>Алгоритм работы программы следующий:<br />1. Открыть файл зловреда<br />2. Перейти по указанному смещению<br />3. Расчитать MD5-хэш последовательности байт<br />4. Добавить запись в базу</p> <p>Реализация алгоритма здесь приводиться не будет, т.к. не относится к теме статьи, но её можно найти в файле md5hash.cpp<br />Здесь же мы просто объявим соответствующую функцию getMD5, которая принимает указатель на данные, их размер и указатель на буфер из 16 байт, куда будет записан хэш.</p> <p>Код программы находится в файле avrec.cpp</p> <p>Сначала подключим все необходимые заголовочные файлы и объявим функцию подсчёта MD5, а также напишем вспомогательную функцию, которая понадобится при разборе аргументов программы.</p> <p>Код:<br />// - Необходимые включения<br />#include &lt;stdlib.h&gt;<br />#include &lt;iostream&gt;<br />#include &lt;fstream&gt;<br />#include &lt;windows.h&gt;<br />#include &lt;avrecord.h&gt;<br />#include &lt;AVBFile.h&gt;</p> <p>using namespace std;<br /> </p> <p>//! Копирование аргумента<br />bool copyArg(PCSTR Arg, DWORD Offset, PSTR Buffer, DWORD Size){<br />&#160; &#160; &#160; &#160; int ArgLen = strlen(Arg) - Offset;<br />&#160; &#160; &#160; &#160; if(ArgLen &gt; Size - 1 || ArgLen &lt;= 0) return false;<br />&#160; &#160; &#160; &#160; memcpy(Buffer, (void*)((DWORD)Arg + Offset), ArgLen);<br />&#160; &#160; &#160; &#160; Buffer[ArgLen] = 0x00;<br />}</p> <p>void getMD5(const void* pData, size_t nDataSize, PDWORD RetHash);<br />Рассмотрим по частям главную функцию main, весь полезный код находится в ней.</p> <p>Сначала происходит разбор аргументов. Вот он:</p> <p>Код:<br />&#160; cout &lt;&lt; endl;<br />&#160; &#160; &#160; &#160; // - Проверка числа аргументов<br />&#160; &#160; &#160; &#160; if(argc &lt; 2){<br />&#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; cout &lt;&lt; &quot;ttAvRec v1.0 by Av-School.ru&quot; &lt;&lt; endl;<br />&#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; cout &lt;&lt; endl;<br />&#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; cout &lt;&lt; &quot;&#160; &#160; Usage:&quot; &lt;&lt; endl;<br />&#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; cout &lt;&lt; &quot;&#160; &#160; &#160; &#160; avrec.exe [OPTIONS...]&quot; &lt;&lt; endl;<br />&#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; cout &lt;&lt; endl;<br />&#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; cout &lt;&lt; &quot;&#160; &#160; Options:&quot; &lt;&lt; endl;<br />&#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; cout &lt;&lt; &quot;&#160; &#160; &#160; &#160; -s[PATH]&#160; &#160; Source infected file&quot;&#160; &#160; &#160; &lt;&lt; endl &lt;&lt;<br />&#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &quot;&#160; &#160; &#160; &#160; -d[PATH]&#160; &#160; Output database file&quot;&#160; &#160; &lt;&lt; endl &lt;&lt;<br />&#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &quot;&#160; &#160; &#160; &#160; -o[NUM]&#160; &#160; &#160;Signature offset&quot;&#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &lt;&lt; endl &lt;&lt;<br />&#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &quot;&#160; &#160; &#160; &#160; -l[NUM]&#160; &#160; &#160;Signature size&quot;&#160; &#160; &#160; &#160; &#160; &lt;&lt; endl &lt;&lt;<br />&#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &quot;&#160; &#160; &#160; &#160; -n[NAME]&#160; &#160; Record name&quot;&#160; &#160; &#160; &#160; &#160; &#160;&lt;&lt; endl;<br />&#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; cout &lt;&lt; endl;<br />&#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; return 0;<br />&#160; &#160; &#160; &#160; }</p> <p>&#160; &#160; &#160; &#160; // - Объект новой записи<br />&#160; &#160; &#160; &#160; SAVRecord&#160; &#160; &#160; &#160;Record;<br />&#160; &#160; &#160; &#160; CHAR&#160; &#160; &#160; &#160; &#160; &#160; SrcFile[256];<br />&#160; &#160; &#160; &#160; CHAR&#160; &#160; &#160; &#160; &#160; &#160; DstFile[256];</p> <p>&#160; &#160; &#160; &#160; // - Разбор аргументов<br />&#160; &#160; &#160; &#160; for(int ArgID = 1; ArgID &lt; argc; ArgID++){<br />&#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; // - Исходный путь<br />&#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; if(!memcmp(argv[ArgID], &quot;-s&quot;, 2)){<br />&#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; if(!copyArg(argv[ArgID], 2, SrcFile, sizeof(SrcFile))){<br />&#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; cout &lt;&lt; &quot;&gt; Error in -s argument. Stop&quot; &lt;&lt; endl;<br />&#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; return 0;<br />&#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; }<br />&#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; // - Файл базы<br />&#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; }else if(!memcmp(argv[ArgID], &quot;-d&quot;, 2)){<br />&#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; if(!copyArg(argv[ArgID], 2, DstFile, sizeof(SrcFile))){<br />&#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; cout &lt;&lt; &quot;&gt; Error in -d argument. Stop&quot; &lt;&lt; endl;<br />&#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; return 0;<br />&#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; }<br />&#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; // - Смещение сигнатуры<br />&#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; }else if(!memcmp(argv[ArgID], &quot;-o&quot;, 2)){<br />&#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; Record.Signature.Offset = atoi((PCSTR)((DWORD)argv[ArgID] + 2));</p> <p>&#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; // - Размер сигнатуры<br />&#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; }else if(!memcmp(argv[ArgID], &quot;-l&quot;, 2)){<br />&#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; Record.Signature.Lenght = atoi((PCSTR)((DWORD)argv[ArgID] + 2));<br />&#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; // - Имя<br />&#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; }else if(!memcmp(argv[ArgID], &quot;-n&quot;, 2)){<br />&#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; int NameLen = strlen(argv[ArgID]) - 2;<br />&#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; if(NameLen &lt;= 0){<br />&#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; cout &lt;&lt; &quot;&gt; Error in -n argument. Stop&quot; &lt;&lt; endl;<br />&#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; return 0;<br />&#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; }<br />&#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; Record.allocName(NameLen);<br />&#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; copyArg(argv[ArgID], 2, Record.Name, NameLen + 1);<br />&#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; }<br />&#160; &#160; &#160; &#160; }<br />Если задано слишком мало аргументов, то будет выведено сообщение об использовании программы, иначе происходит их &quot;опознание&quot;.<br />Функция copyArg копирует в указанное место значение аргумента без ключа.</p> <p>После того, как данные о записи получены, можно приступать к расчёту контрольной суммы сигнатуры.</p> <p>Код:<br />&#160; &#160; &#160; &#160; // <br />&#160; &#160; &#160; &#160; // - Открытие исходного файла<br />&#160; &#160; &#160; &#160; ifstream&#160; &#160; &#160; &#160; hSrcFile;<br />&#160; &#160; &#160; &#160; hSrcFile.open(SrcFile, ios::in | ios::binary);<br />&#160; &#160; &#160; &#160; if(!hSrcFile.is_open()){<br />&#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; cout &lt;&lt; &quot;&gt; Can't open source file. Stop.&quot; &lt;&lt; endl;<br />&#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; return 0;<br />&#160; &#160; &#160; &#160; }<br />&#160; &#160; &#160; &#160; // - Чтение данных для расчёта контрольной суммы<br />&#160; &#160; &#160; &#160; PBYTE&#160; &#160;Buffer = new BYTE[Record.Signature.Lenght];<br />&#160; &#160; &#160; &#160; if(Buffer == NULL){<br />&#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; cout &lt;&lt; &quot;&gt; Can't alloc memory for sign data. Stop.&quot; &lt;&lt; endl;<br />&#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; hSrcFile.close();<br />&#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; return 0;<br />&#160; &#160; &#160; &#160; }<br />&#160; &#160; &#160; &#160; hSrcFile.seekg(Record.Signature.Offset, ios::beg);<br />&#160; &#160; &#160; &#160; hSrcFile.read((PSTR)Buffer, Record.Signature.Lenght);<br />&#160; &#160; &#160; &#160; // - Закрытие исходного файла<br />&#160; &#160; &#160; &#160; hSrcFile.close();<br />&#160; &#160; &#160; &#160; // - Расчёт хэша сигнатуры<br />&#160; &#160; &#160; &#160; getMD5(Buffer, Record.Signature.Lenght, Record.Signature.Hash);<br />&#160; &#160; &#160; &#160; <br />&#160; &#160; &#160; &#160; // - Очистка буфера<br />&#160; &#160; &#160; &#160; &#160;Buffer;<br />Сначала открываем файл, затем переходим к указанному смещению и вычисляем хэш.<br />Всё просто.</p> <p>И наконец, добавляем запись в файл базы, попутно выводя информацию в консоль.<br />Для добавления используется класс CAVBFileWriter.</p> <p>Код:<br />&#160; &#160; &#160; &#160; // -<br />&#160; &#160; &#160; &#160; // - Добавление сигнатуры<br />&#160; &#160; &#160; &#160; cout &lt;&lt; &quot;Record info:&quot; &lt;&lt; endl;<br />&#160; &#160; &#160; &#160; printf( &quot;&#160; &#160; Name:&#160; &#160; &#160; &#160; &#160;%sn&quot;, Record.Name);<br />&#160; &#160; &#160; &#160; printf( &quot;&#160; &#160; Offset:&#160; &#160; &#160; &#160;0x%x (%d)n&quot;, Record.Signature.Offset, Record.Signature.Offset);<br />&#160; &#160; &#160; &#160; printf( &quot;&#160; &#160; Lenght:&#160; &#160; &#160; &#160;0x%x (%d)n&quot;, Record.Signature.Lenght, Record.Signature.Lenght);<br />&#160; &#160; &#160; &#160; printf( &quot;&#160; &#160; CheckSumm:&#160; &#160; 0x%x%x%x%xn&quot;, Record.Signature.Hash[0], Record.Signature.Hash[1], Record.Signature.Hash[2], Record.Signature.Hash[3]);<br />&#160; &#160; &#160; &#160; CAVBFileWriter&#160; hAVBFile;<br />&#160; &#160; &#160; &#160; hAVBFile.open(DstFile);<br />&#160; &#160; &#160; &#160; if(!hAVBFile.is_open()){<br />&#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; cout &lt;&lt; &quot;&gt; Can't open database file. Stop.&quot; &lt;&lt; endl;<br />&#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; return 0;<br />&#160; &#160; &#160; &#160; }<br />&#160; &#160; &#160; &#160; hAVBFile.addRecord(&amp;Record);<br />&#160; &#160; &#160; &#160; hAVBFile.close();<br />&#160; &#160; &#160; &#160; <br />&#160; &#160; &#160; &#160; cout &lt;&lt; &quot;Record added.&quot; &lt;&lt; endl;</p> <p>&#160; &#160; &#160; &#160; return 0;<br />На этом всё, программа готова. Можно компилировать :)<br />А пока она компилируется, переходим к написанию самого сканера!</p> <p>Реализация сканера</p> <p>Наконец-то добрались и до главной цели — сканера.<br />Сканер пока будет просто проверять, является ли файл вредоносным или нет.<br />Лечение, удаление, карантин оставим на потом.<br />Файл с базой должен находиться в одной папке со сканером и называться avbase.avb<br />Программа принимает один-единственный параметр — путь до папки, в которой необходимо провести проверку.<br />Кода в сканере будет немного больше, но в целом всё так же просто.</p> <p>Алгоритм работы следующий:<br />1. Загрузка файла базы<br />2. Получение списка файлов в указанной папке<br />3. Если это файл — проверяем. Если папка — рекурсивно переходим к пункту 2.</p> <p>Загрузка файла базы будет происходить в специальную структуру SAVRecordCollection, которую мы объявим, несмотря на то, что можно было использовать стандартный vector или другой контейнер.</p> <p>Проверка файла сводится к простому перебору всех сигнатур.<br />Если сигнатура присутствует, то сообщаем, что файл злой, в противном случае сообщаем, что всё хорошо.</p> <p>А теперь ближе к коду :)</p> <p>Код:<br />#include &lt;stdlib.h&gt;<br />#include &lt;iostream&gt;<br />#include &lt;fstream&gt;<br />#include &lt;windows.h&gt;</p> <p>#include &lt;avrecord.h&gt;<br />#include &lt;AVBFile.h&gt;<br /> </p> <p>using namespace std;</p> <p>//! Коллекция записей<br />typedef struct SAVRecordCollection{<br />&#160; &#160; &#160; &#160; SAVRecordCollection(DWORD RecordCount){<br />&#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; this-&gt;RecordCount&#160; &#160; = RecordCount;<br />&#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; this-&gt;Record&#160; &#160; &#160; &#160; &#160;= new SAVRecord[this-&gt;RecordCount];<br />&#160; &#160; &#160; &#160; }<br />&#160; &#160; &#160; &#160; ~SAVRecordCollection(){<br />&#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; []&#160; &#160; &#160; this-&gt;Record;<br />&#160; &#160; &#160; &#160; }<br />&#160; &#160; &#160; &#160; DWORD&#160; &#160; &#160; &#160; &#160; &#160;RecordCount;<br />&#160; &#160; &#160; &#160; PSAVRecord&#160; &#160; &#160; Record;<br />} * PSAVRecordCollection;</p> <p>// - Коллекция записей<br />PSAVRecordCollection&#160; &#160; &#160; &#160; &#160; &#160; AVRCollection&#160; &#160;= NULL;</p> <p>void&#160; &#160; processPath(PCSTR Path);<br />void getMD5(const void* pData, size_t nDataSize, PDWORD RetHash);</p> <p>функция processPath будет рассмотрена ниже.<br />Итак, вначале стандартный разбор аргументов, а также получение пути для</p> <p>Код:<br />&#160; &#160; &#160; &#160; if(argc &lt; 2){<br />&#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; cout &lt;&lt; &quot;ttAVScan v1.0&quot; &lt;&lt; endl;<br />&#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; cout &lt;&lt; endl;<br />&#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; cout &lt;&lt; &quot;&#160; &#160; Usage:&quot; &lt;&lt; endl;<br />&#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; cout &lt;&lt; &quot;&#160; &#160; &#160; &#160; avscan.exe [Path]&quot; &lt;&lt; endl;<br />&#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; cout &lt;&lt; endl;<br />&#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; cout &lt;&lt; &quot;&#160; &#160; Arguments:&quot; &lt;&lt; endl;<br />&#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; cout &lt;&lt; &quot;&#160; &#160; &#160; &#160; Path&#160; &#160; - Dirrectory to scan&quot; &lt;&lt; endl;<br />&#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; cout &lt;&lt; endl;<br />&#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; return 0;<br />&#160; &#160; &#160; &#160; }</p> <p>&#160; &#160; &#160; &#160; PCSTR&#160; &#160;SrcPath = argv[1];&#160; &#160; &#160; // - Путь для сканирования<br /> </p> <p>&#160; &#160; &#160; &#160; // - Получение пути до файла с базой<br />&#160; &#160; &#160; &#160; CHAR&#160; &#160; AVBPath[MAX_PATH];&#160; &#160; &#160; // - Путь до папки с программой<br />&#160; &#160; &#160; &#160; memset(AVBPath, 0, MAX_PATH);<br />&#160; &#160; &#160; &#160; PCHAR&#160; &#160;NamePtr;<br />&#160; &#160; &#160; &#160; GetFullPathNameA(argv[0], MAX_PATH, AVBPath, &amp;NamePtr);<br />&#160; &#160; &#160; &#160; *NamePtr = 0x00;<br />&#160; &#160; &#160; &#160; strcat_s(AVBPath, MAX_PATH, &quot;avbase.avb&quot;);<br />Функция GetFullPathName в третьем параметре возвращает указатель на имя исполняемого файла, в начало которого мы ставим нуль-терминатор. Таким образом отрезая его и оставляя только путь до папки, в которой расположен исполняемый файл.</p> <p>Следующий шаг — загрузка базы.</p> <p>Код:</p> <p>&#160; &#160; &#160; &#160; // - Загрузка записей<br />&#160; &#160; &#160; &#160; cout &lt;&lt; endl;<br />&#160; &#160; &#160; &#160; cout &lt;&lt; &quot;Loading bases...&quot;;<br />&#160; &#160; &#160; &#160; CAVBFileReader&#160; hAVBFile;<br />&#160; &#160; &#160; &#160; if(!hAVBFile.open(AVBPath)){<br />&#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; cout &lt;&lt; &quot;Can't open AV Bases file. Stop.&quot; &lt;&lt; endl;<br />&#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; return 0;<br />&#160; &#160; &#160; &#160; }<br />&#160; &#160; &#160; &#160; if(hAVBFile.getRecordCount() &gt; 0){<br />&#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; // - Создание коллекции<br />&#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; AVRCollection = new SAVRecordCollection(hAVBFile.getRecordCount());<br />&#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; for(DWORD RecID = 0; RecID &lt; AVRCollection-&gt;RecordCount; RecID++){<br />&#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; if(!hAVBFile.readNextRecord(&amp;AVRCollection-&gt;Record[RecID])){<br />&#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; cout &lt;&lt; &quot;&gt; Error loading record #&quot; &lt;&lt; RecID &lt;&lt; endl;<br />&#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; }<br />&#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; }<br />&#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; hAVBFile.close();<br />&#160; &#160; &#160; &#160; }else{<br />&#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; hAVBFile.close();<br />&#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; cout &lt;&lt; &quot;&gt; Empty AV Base. Stop.&quot; &lt;&lt; endl;<br />&#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; return 0;<br />&#160; &#160; &#160; &#160; }<br />&#160; &#160; &#160; &#160; cout &lt;&lt; &quot;t&quot; &lt;&lt; AVRCollection-&gt;RecordCount &lt;&lt; &quot; records loaded.&quot; &lt;&lt; endl;<br />&#160; &#160; &#160; &#160; <br />&#160; &#160; &#160; &#160; // <br />&#160; &#160; &#160; &#160; cout &lt;&lt; endl;<br />&#160; &#160; &#160; &#160; cout &lt;&lt; &quot;Starting scan for viruses&quot; &lt;&lt; endl;<br />&#160; &#160; &#160; &#160; cout &lt;&lt; endl;</p> <p>&#160; &#160; &#160; &#160; processPath(SrcPath);<br />Открываем файл, выделяем память под записи, после чего читаем в них информацию из файла.<br />Если всё прошло хорошо, то будет вызвана функция processPath, которая выполняет рекурсивную проверку по указанному пути.</p> <p>Вот так выглядит эта функция:</p> <p>Код:<br /> </p> <p>void&#160; &#160; processPath(PCSTR Path){<br />&#160; &#160; &#160; &#160; string&#160; SrcPath = Path;<br />&#160; &#160; &#160; &#160; string&#160; File;<br />&#160; &#160; &#160; &#160; File&#160; &#160; = Path;<br />&#160; &#160; &#160; &#160; File&#160; &#160; += &quot;*.*&quot;;</p> <p>&#160; &#160; &#160; &#160; WIN32_FIND_DATAA&#160; &#160; &#160; &#160; FindData;&#160; &#160; &#160; &#160;<br />&#160; &#160; &#160; &#160; HANDLE hFind = FindFirstFileA(File.c_str(), &amp;FindData);</p> <p>&#160; &#160; &#160; &#160; do{<br />&#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; // - Пропускаем папки . и ..<br />&#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; if(!strcmp(FindData.cFileName, &quot;.&quot;) || !strcmp(FindData.cFileName, &quot;..&quot;)) continue;</p> <p>&#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; File = Path;<br />&#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; File += &quot;&quot;;<br />&#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; File += FindData.cFileName;</p> <p>&#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; // - Если папка, то сканируем рекурсивно<br />&#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; if((FindData.dwFileAttributes &amp; FILE_ATTRIBUTE_DIRECTORY)){<br />&#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; processPath(File.c_str());<br />&#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; // - Иначе проверяем на вирусы<br />&#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; }else{<br />&#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; checkFile(File.c_str());<br />&#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; }</p> <p>&#160; &#160; &#160; &#160; } while(FindNextFileA(hFind, &amp;FindData));<br /> </p> <p>}<br />Получаем список файлов и папок (за исключением папок &quot;.&quot; и &quot;..&quot;), при этом если нам попалась папка, то проводим рекурсивный просмотр, а если файл — проверяем его функцией checkFile.</p> <p>Ниже приведён листинг функции checkFile</p> <p>Код:<br /> </p> <p>void&#160; &#160; checkFile(PCSTR FileName){<br />&#160; &#160; &#160; &#160; cout &lt;&lt; FileName &lt;&lt; &quot;t&quot;;<br />&#160; &#160; &#160; &#160; // - Открываем файл<br />&#160; &#160; &#160; &#160; HANDLE&#160; hFile = CreateFileA(FileName, FILE_READ_ACCESS, NULL, NULL, OPEN_EXISTING, NULL, NULL);<br />&#160; &#160; &#160; &#160; if(hFile == INVALID_HANDLE_VALUE){<br />&#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; cout &lt;&lt; &quot;Error&quot; &lt;&lt; endl;<br />&#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; return;<br />&#160; &#160; &#160; &#160; }<br />&#160; &#160; &#160; &#160; // - Получаем размер файла<br />&#160; &#160; &#160; &#160; DWORD FileSize = GetFileSize(hFile, NULL);</p> <p>&#160; &#160; &#160; &#160; // - Отображаем файл в память<br />&#160; &#160; &#160; &#160; HANDLE&#160; hMap = CreateFileMappingA(hFile, NULL, PAGE_READONLY, NULL, FileSize, NULL);<br />&#160; &#160; &#160; &#160; if(hFile == INVALID_HANDLE_VALUE){<br />&#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; cout &lt;&lt; &quot;Error&quot; &lt;&lt; endl;<br />&#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; CloseHandle(hFile);<br />&#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; return;<br />&#160; &#160; &#160; &#160; }<br />&#160; &#160; &#160; &#160; LPVOID&#160; File = MapViewOfFile(hMap, FILE_MAP_READ, NULL, NULL, FileSize);<br />&#160; &#160; &#160; &#160; if(File == NULL){<br />&#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; cout &lt;&lt; &quot;Error&quot; &lt;&lt; endl;<br />&#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; CloseHandle(hMap);<br />&#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; CloseHandle(hFile);<br />&#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; return;<br />&#160; &#160; &#160; &#160; }<br />&#160; &#160; &#160; &#160; <br />&#160; &#160; &#160; &#160; // - Поиск по сигнатурам<br />&#160; &#160; &#160; &#160; bool&#160; &#160; Detected = false;<br />&#160; &#160; &#160; &#160; for(DWORD RecID = 0; RecID &lt; AVRCollection-&gt;RecordCount; RecID++){<br />&#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; PSAVRecord&#160; &#160; &#160; Record = &amp;AVRCollection-&gt;Record[RecID];<br />&#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; // - Если файл слишком маленький, то пропускам запись<br />&#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; if(FileSize &lt; (Record-&gt;Signature.Offset + Record-&gt;Signature.Lenght)) continue;<br />&#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; // - Переходим вычисляем контрольную сумму для сигнатуры<br />&#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; DWORD&#160; &#160;Hash[4];<br />&#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; getMD5((PBYTE)((DWORD)File + Record-&gt;Signature.Offset), Record-&gt;Signature.Lenght, Hash);</p> <p>&#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; // - Детектим<br />&#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; if(!memcmp(Hash, Record-&gt;Signature.Hash, 4 * sizeof(DWORD))){<br />&#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; cout &lt;&lt; &quot; DETECTEDt&quot; &lt;&lt; Record-&gt;Name &lt;&lt; endl;<br />&#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; Detected = true;<br />&#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; break;<br />&#160; &#160; &#160; &#160; &#160; &#160; &#160; &#160; }<br />&#160; &#160; &#160; &#160; }</p> <p>&#160; &#160; &#160; &#160; UnmapViewOfFile(File);<br />&#160; &#160; &#160; &#160; CloseHandle(hMap);<br />&#160; &#160; &#160; &#160; CloseHandle(hFile);</p> <p>&#160; &#160; &#160; &#160; if(!Detected)&#160; &#160;cout &lt;&lt; &quot;OK&quot; &lt;&lt; endl;<br />}<br />Рассмотрим её подробнее.<br />Во-первых, в функции вместо чтения файла использовано его отображение в память, при котором файл помещается в адресное пространство процесса, и для доступа к нему не требуется производить операции чтения или записи. Доступ осуществляется, как к обычному массиву.<br />Данный подход выбран по той причине, что при проверке сигнатур требуется постоянно перемещаться по файлу согласно смещению сигнатуры.<br />Перемещение по массиву намного быстрее перемещения по файлу. Также для расчёта хэша достаточно просто передать указатель на начало последовательности.<br />При стандартном подходе потребовалось бы каждый раз считывать информацию из файла, что не только долго, но и просто неудобно.</p> <p>Функция MapViewOfFile возвращает адрес, начиная с которого отображен файл.<br />Этот адрес и является началом файла, или если представить файл как массив, то данный адрес будет началом массива.</p> <p>Поиск сигнатуры выполняется следующим образом:<br />В цикле перебираются все записи из коллекции.<br />Если для записи сумма смещения сигнатуры и её размера меньше, чем размер файла (т.е. сигнатура помещается в файл), то производится хэширование последовательности данных.<br />После этого производится сравнение полученного хэша с хэшем из сигнатуры.<br />Если они совпадают, то это значит, что файл известен как опасный (или ложное срабатывание =) )</p> <p>Осталось только скомпилировать и протестировать.</p> <p>Код:<br />avrec.exe -sVirus.vbs -davbase.avb -o253 -l280 -nVirus.VBS.Baby<br />Проверяем:</p> <p>Файл действительно детектируется.</p> mybb@mybb.ru (Hrom) Wed, 24 Jul 2013 16:41:34 +0400 https://razrabotka.f-rpg.me/viewtopic.php?pid=2#p2