File in quarantena programmaticamente

Naviga le tue risposte
0

Situazione: utilizzo di Python per creare un semplice software di quarantena per il malware.

Quello che so:

Capisco (da questo forum non meno) che uno dei modi è quello di mettere il file in una directory di quarantena e disattivare tutti gli accessi ad esso (cioè i permessi del file Linux 0000).

Un altro modo è quello di scramble il binario in modo tale che non possa essere eseguito quando "doppio clic", ma può essere decodificato se l'utente decide che il file è sicuro e lo vuole indietro.

Problema: non sono convinto che i file in quarantena siano così semplici.

Domanda: quali sono altri modi con cui gli antivirus utilizzano i file in quarantena che posso usare?

Informazioni aggiuntive: evita metodi proprietari, poiché questo metodo verrà implementato nel mio codice.

    
posta Timothy Wong 26.01.2018 - 09:11
fonte

1 risposta

1

Lasciatemi spiegare un meccanismo che abbiamo usato in passato su un AV commerciale su cui stavo lavorando:

  1. Il motore AV rileva il malware.
  2. Creiamo un nuovo file con un'intestazione con meta informazioni (timestamp, nome malware, sha del file e così via) e dopo l'intestazione il file originale. Facendo ciò, non ci importava delle autorizzazioni del file e dell'esecuzione accidentale o cose del genere.

Questo funzionava per noi e potrebbe darti un'idea di cosa puoi fare nella tua implementazione.

    
risposta data 26.01.2018 - 09:19
fonte

Leggi altre domande sui tag

Cripta l'intero file CSV, ma decrittografa solo i campi specifici? E 'possibile dire se due utenti ssh sono uguali, in base ai tasti che usano?