Пользователь
Пользователь
- Статус
- Оффлайн
- Регистрация
- 21 Июн 2025
- Сообщения
- 149
- Реакции
- 49
Написал еще небольшую утилиту для проверки безопасности.
Открытый исходный код, всем кому интересна разработка антивирусов - вперед анализировать.
1. Программа анализирует PE.
1.1 Проверяет сигнатуры MZ, PE\0\0.
1.2 Считывает базовую структуру: секции, точку входа, метаданные.
2. Вычисляет энтропию по математической формуле Шеннона:
2.1
H - энтропия(в битах)
n - количество возможных символов
pi - вероятность появление i-го символа в анализирумой последовательности.
-- Важно понимание FPU инструкций, изучить можно -
Если отдельно поговорить касаемо энтропии, через нее антивирусные защитные механизмы понимают, упакована ли программа либо же нет. 1-5 норма, 6+ подозрительно, возможно упаковано.
3. Проверяет Entry Point
3.1 Сверяет VA точкти входа с границами секций;
3.2 Выдает предупреждение, если точка входа находится вне стандартной секции кода
4. Выводит имена, виртуальные адреса (VA) и размеры секций
4.1 ищет подозрительные флаги (W+x запись + выполнение).
4.2 Указывает RVA директории, если найдена.
Демонстрация работы программы:
Антивирус будет обновляться.
Открытый исходный код, всем кому интересна разработка антивирусов - вперед анализировать.
1. Программа анализирует PE.
1.1 Проверяет сигнатуры MZ, PE\0\0.
1.2 Считывает базовую структуру: секции, точку входа, метаданные.
2. Вычисляет энтропию по математической формуле Шеннона:
2.1
H - энтропия(в битах)
n - количество возможных символов
pi - вероятность появление i-го символа в анализирумой последовательности.
-- Важно понимание FPU инструкций, изучить можно -
Пожалуйста, авторизуйтесь для просмотра ссылки.
| не реклама.Если отдельно поговорить касаемо энтропии, через нее антивирусные защитные механизмы понимают, упакована ли программа либо же нет. 1-5 норма, 6+ подозрительно, возможно упаковано.
3. Проверяет Entry Point
3.1 Сверяет VA точкти входа с границами секций;
3.2 Выдает предупреждение, если точка входа находится вне стандартной секции кода
4. Выводит имена, виртуальные адреса (VA) и размеры секций
4.1 ищет подозрительные флаги (W+x запись + выполнение).
4.2 Указывает RVA директории, если найдена.
Демонстрация работы программы:
Антивирус будет обновляться.
Последнее редактирование:
