Голосование

Каким IM-клиентом вы пользуетесь?

QIP
Telegram
ICQ
Miranda
Mail.ru Агент
Skype
AIM
GTalk
MSN/WLM
IM+
Другой



Посмотреть результаты
Другие опросы ...

 

Архив исходников

   
  Базы данных
  Графика & Мультимедиа
  Сети & Интернет
  Система
  Разное
   

Кнопки, Ссылки и Баннеры ...

 


Translate to


English German French Italian Spanish
Portuguese Greece Japan Chinese Korean


Bookmark and Share

Ссылки и Баннеры


скрыть

 

Delphi Sources

Delphi Sources - Delphi: программы, исходники, серийники

 

 

ИСХОДНИК ПРОГРАММЫ

 

. : xCore Antivirus : .

 

Исходник программы, показывающей пример создания антивируса основанного на алгоритме поиска сигнатур в файлах (алгоритм Боера Мура)

  

Исходник программы, показывающей пример создания антивируса основанного на алгоритме поиска сигнатур в файлах (алгоритм Боера Мура). Имеется встроенный контроль запуска процессов, реализована поддержка проверки ZIP и RAR архивов - Автор Василевский Дмитрий (BlackCash).

xCore Signature Checker Engine vs2.0.6
Автор: BlackCash (Василевский Дмитрий)
E-mail: BlackCash2006@Yandex.ru


Общее описание:

     xCore Signature Checker Engine, далее "движок", создан на языке программирования Borland Delphi (Object Pascal). Версия движка 2.0.6 скомпилирована на Borland Delphi 7. Движок имеет форму библиотеки подключаемой к программе которая будет взаимодействовать с ним.

Технические характеристики:

     Движок использует алгоритм Боера Мура для поиска сигнатур в файлах. В движке поддерживаются следующие виды сигнатур:

     1. HEX сигнатура, имеет вид хекс строки без маски (Wildcards).
     2. HEX сигнатура с маской, имеет вид хекс строки в которой допустимо использовать следующие маски:
          * - Пропуск неизвестного количества баит
          ?? - Пропуск неизвестного байта
          {n} - Пропуск n байт
          {-n} - Пропуск n или меньше байт
          {n-} - Пропуск n или больше байт
          (aa|bb|cc) - Выбор одного из альтернативных байт

          При записи HEX сигнатуры возможно указание следующих смещений для поиска:

          * Поиск по всему файлу
          EP+n - Поиск в позиции от точки входа в РЕ файл + n байт
          EP-n - Поиск в позиции от точки входа в РЕ файл - n байт
          Sx+n - Поиск в позиции от секции x РЕ файла + n байт
          Sx-n - Поиск в позиции от секции x РЕ файла - n байт
          EOF-n - Поиск в позиции от конца файла - n байт
          N - Поиск в позиции n байт
          LS+/-n - Поиск в позиции +/-n байт от начала последней секции PE файла

          Примечание: в сигнатуре и ее отдельной части должны присутствовать как минимум два стабильных байта не ограниченных маской.
          Например: 5c00{-50}2e00(5c|00|53)*004f00??00??00????

     3. MD5 сумма файла.
     4. MD5 сумма секции файла (только для Windows PE файлов).
     5. MD5 белого файла.
     6. Ложные сигнатуры (указывается имя ложной сигнатуры).

     Во время сканирования файла движок определяет его тип и использует сигнатуры характерные данному типу файлов.
     Определяемые типы файлов:

     • XC_TYPE_OTHER
          – Файлы не определенные движком.
     • XC_TYPE_PE
          – Файлы Windows PE.
     • XC_TYPE_GRAPHIC
          – Файлы изображений.
     • XC_TYPE_PDF
          – Файлы Adobe Acrobat Reader.
     • XC_TYPE_HTML
          – HTML файлы.
     • XC_TYPE_RTF
          – RTF файлы.
     • XC_TYPE_CRYPTFF
          – Файлы шрифтов.
     • XC_TYPE_BINHEX
          – Бинарные файлы.
     • XC_TYPE_ARCHIVE
          – Архивы ZIP.
          – Архивы RAR.

     В движке реализована поддержка ZIP и RAR архивов. Для поддержки архивов RAR используется UnRar.dll. Для поддержки архивов ZIP используется компонент VCLUnZip. Проверяемые архивы распаковываются во временную директорию где происходит проверка распакованных файлов. При первом найденном совпадении сигнатуры проверка архива прерывается.

     Реализована поддержка исключения уже проверенных файлов “xForce”. Если опция включена, то движок будет пропускать уже проверенные, за текущее сканирование, файлы.

     Базы данных сигнатур могут храниться в двух состояниях:
     1. Упакованная База Данных Сигнатур.
     2. Неупакованная База Данных Сигнатур.

     Упакованная База Данных Сигнатур использует для сжатия алгоритм zLib.
     Неупакованная База Данных Сигнатур грузится с включенной опцией "загружать неупакованные базы сигнатур".



Комментарии пользователей:
Михаил Подивилов
07 октября 2012
Помогите мне! Можно мне изменить AID antivirus module ??!
   
Роман Леонтьев
22 сентября 2012
Антивирусное ядро программы xCore http://unical.16mb.com/viewtopic.php?f=4&t=4
   

Написать сообщение:
 

 

Назад

 

Скачать (1 Мб)

  

© 2004-2019 "DS"

Отправить письмо / Реклама


ВКонтакте   Facebook   Twitter