Bunun için Python kullanma. Tüm sistemi izleyebilen kernel Mod'da çalışan ring0 bir Driver yaz C++ ile.
Python kullanmak zorunlu ise yapması çok kolay
zaten bir ton örnek var.
Filesystem hook dedikleri olay Kernel'den atılır. Deepfreeze tüm dosyaları kendinden geçirir mesela.(Deepfreeze Anti-Virüs değil.)
İmza tabanlı algılama için gerekli yerlerden verileri çek.
Örn virustotal, antiscan. Me.
Heuristic(davranış analizi) için de kendin bir algoritma yaratman gerek.
Davranış analizi şöyle olacak. Diyelim UI'siz bir uygulama Regedit'te Key açtı.
Neden Key açsın?
İmza tarat. Temizse dur. Temiz değilse imha et.
Açtığı Key'i tara isimlerini tarat.
Tabi bu algoritma çok ilkel. Sağlam bir algoritma yazman gerek.
Ama en mantıklısı direk imza tabanlı yap. Davranış analizini yapman çok zor.
Haa illa Python'la yazacağım dersen at kırıyım iki dk de anti virüsü
.
Dediklerimin hepsini yaparsan artık hocalar sana aşmış gözüyle bakar söyleyeyim. Kernel mode Driver yazmak her yiğidin harcı değil.
Çoğu Anti-Virüs ESET, Kaspersky vs bunların hepsi kernel-mod çalışır. Neden virüslerin çoğu etkisiz hale getiremiyor Anti-Virüs'ü sanıyorsun.
Bir de böyle şeyleri stackoverflow hack forums gibi yerlerde araştır buranın sadece adı programlama azcık gönderilere bakarsan anlarsın ne demek istediğimi.
GitHub is where people build software. More than 100 million people use GitHub to discover, fork, and contribute to over 420 million projects.
github.com