TinyAntivirus: un motor de antivirus de código abierto contra virus polimórficos
Os podéis imaginar lo trabajoso y desagradable que resulta la desinfección si se está en el lado defensivo...
Quizás uno de los virus de este tipo más conocidos es W32.Sality que infecta los archivos ejecutables remplazando sus entry point para redireccionar la ejecución al código polimórfico del virus, el cual ha sido cifrado e insertado en la última sección del archivo original.
Y cómo hoy vagamos por la orilla azul, os traemos el reciente TinyAntivirus (TinyAv) del vietnamita Quang Nguyễn, un motor de antivirus diseñado para detectar y desinfectar virus polimórficos y que en su primera versión da buena cuenta de Sality (próximamente se añadirán módulos para otros como Virut o Polip).
Ya sé, estaréis pesando "menuda novedad, ya existen muchas aplicaciones antivirus y antimalware capaz de desinfectarlo igualmente". Por supuesto, pero no hay muchas de código abierto cómo TinyAv (licencia GPL) que nos permitan ver cómo funcionan por dentro estas herramientas y tener la posibilidad de personalizarlas y contribuir para mejorarlas...
Requisitos
- Microsoft Visual Studio 2015
- zlib 1.2.8 or newer
- unicorn-engine 0.9
- Clona el repositorio:
git clone https://github.com/develbranch/TinyAntivirus.git
. - Build: Core engine, Console y módulo scan.
- Cambia al directorio
Release
y ejecutaTinyAvConsole.exe
.
TinyAvConsole.exe [options]
Opción | Significado | Valor por defecto |
---|---|---|
-e | directorio de plug-ins | directorio actual |
-A | profundidad de escaneo de archivos | -1 : cualquiera |
-D | profundidad de escaenos | -1 : cualquiera |
-d | ruta a escanear | |
-p | patrón de ficheros | *.* |
-s | max tamaño de fichero en bytes | 10 * 1024 * 1024 (10 MB) |
-m | modeo de escaneo: Kill-virus (k) o Scan-only(s) | Kill-virus (k) |
-h | muestra ayuda |
Ejemplo
C:\build>TinyAvConsole.exe -d C:\sample
------------------------------------------------------
TinyAntivirus version 0.1
Copyright (C) 2016, Quang Nguyen. All rights reserved.
Website: http://develbranch.com
------------------------------------------------------
Scanning ...
C:\sample\calc.EXE
W32.Sality.PE Disinfected
C:\sample\container.zip OK
C:\sample\container.zip>DiskView.exe OK
C:\sample\container.zip>DMON.SYS OK
C:\sample\container.zip>sub_container.zip OK
C:\sample\container.zip>sub_container.zip>NOTEPAD.EXE
W32.Sality.PE Deleted
C:\sample\dbgview.chm OK
C:\sample\sub\gmer.EXE
W32.Sality.PE Disinfected
=============================================
Scanned : 4 file(s) (10 object(s))
Detected : 3 file(s)
Removed : 3 file(s)
Access denied : 0 file(s)
C:\build>
Repositorio GitHub: https://github.com/develbranch/TinyAntivirus
Via: www.hackplayers.com
TinyAntivirus: un motor de antivirus de código abierto contra virus polimórficos
Reviewed by Zion3R
on
19:51
Rating: