云查杀系列工具之二: 云端服务器 CloudServer

nkspark

其它工具参见：《云查杀系列工具之一: 客户端 CloudScanner》, http://bbs.kafan.cn/thread-944466-1-1.html

为了演示完整的云查杀功能，本首席写了一个云端小工具CloudServer，此小工具在云端工作，处理对黑、白名单的查询。

主要特性：
1、完全兼容CloudScanner；
2、同时加载黑、白名单；
3、加载的MD5项可达千万量级；
4、黑白MD5名单中各项可重复、无序，工具会自动处理；
5、做了简单的查询优化；

说是云端小工具，不过是本首席的谦辞，结果很多同学不理解。这个程序本质上是一个WebServer，运行后会在80端口监听查询请求，可以用IE或其它浏览器直接访问运行了此程序的机器。也可以用本首席写的客户端CloudScanner查询。很多同学喷本首席写的CloudScanner，给本首席造成的印象是这些同学对CloudScanner理解的很清楚，所以本首席以为一说“完全兼容CloudScanner”，这些同学就会明白CloudServer是干啥的呢。

程序启动图：



在IE中输入http://localhost/search.html?chain="MYMD5"的查询效果，不在黑白名单中：



在IE中输入http://localhost/search.html?chain="B5F85C01A001F25AFC02E465AE8BE0A5"的查询效果，在黑名单中：



在IE中输入http://localhost/search.html?chain="326262dddc0dfa93826098f3496f0282"的查询效果，在白名单中：



与CloudScanner配合查询可以有两种方式：
* 第一种方式是直接在CloudScanner的源代码（本首席已经公开）里加上对运行了CloudServer的IP地址进行查询。
* 第二种方式是修改hosts文件，修改www.virustotal.com指向运行CloudServer的IP地址。例如在hosts文件中添加一行：
            127.0.0.1       www.virustotal.com

这里是用第二种方式与CloudScanner配合查询的结果：

1. 
   
2. c:\WORK\Program\CloudScanner_2.0\bin\Debug>CloudScanner.exe -v -r -d d:\Virus
   
3. 扫描了19个文件，其中正常文件2个，病毒文件文件8个，未知文件9个。
   
4. 
   
5. d:\Virus\FamilyString.txt，未知文件，扫描用时0秒。
   
6. d:\Virus\NOTEPAD.idb，未知文件，扫描用时0秒。
   
7. d:\Virus\count.txt，发现病毒 Win32/Trojan.Mtcd.Generic，扫描用时0秒。
   
8. d:\Virus\CallChainPattern.txt，发现病毒 Win32/Trojan.Mtcd.Generic，扫描用时0秒。
   
9. d:\Virus\noname.ico，未知文件，扫描用时0秒。
   
10. d:\Virus\CallChainPattern.txt.bak，未知文件，扫描用时0秒。
    
11. d:\Virus\NOTEPAD.idc，未知文件，扫描用时0秒。
    
12. d:\Virus\NOTEPAD.EXE，正常文件，扫描用时0秒。
    
13. d:\Virus\Thumbs.db，未知文件，扫描用时0秒。
    
14. d:\Virus\FamilyString.txt.bak，未知文件，扫描用时0秒。
    
15. d:\Virus\virindir.err，正常文件，扫描用时0秒。
    
16. d:\Virus\URLList.chs，未知文件，扫描用时0秒。
    
17. d:\Virus\icure.log，未知文件，扫描用时0秒。
    
18. d:\Virus\Case\AAAA.com，发现病毒 Win32/Trojan.Mtcd.Generic，扫描用时0秒。
    
19. d:\Virus\Case\BlankCOM.com，发现病毒 Win32/Trojan.Mtcd.Generic，扫描用时0秒。
    
20. d:\Virus\Case\BlankEXE.exe，发现病毒 Win32/Trojan.Mtcd.Generic，扫描用时0秒。
    
21. d:\Virus\Case\BlankPE.exe，发现病毒 Win32/Trojan.Mtcd.Generic，扫描用时0秒。
    
22. d:\Virus\Case\ForLoad.exe，发现病毒 Win32/Trojan.Mtcd.Generic，扫描用时0秒。
    
23. d:\Virus\Case\1234.com，发现病毒 Win32/Trojan.Mtcd.Generic，扫描用时0秒。
    
24. 
    

复制代码

大金鱼先生

不知何用·······

李白vs苏轼

你看雪的那个代码缺了个分号。。。。。。

-oAo-

下载备用

hujiwa

路过围观

lrxy

看不懂  不知道咋用

derrick_goi

双击运行失败

andylau

把CloudScanner_2.0也上傳上來吧

langsileaa

derrick_goi 发表于 2011-4-24 09:59
双击运行失败

从MSVCR100.dll文件名看，程序是用Visual Studio 2010编译的。
可惜楼主对于编程相关知识掌握的太少，MSVCR100.dll是Visual Studio 2010 提供的
动态链接库文件。在编译环境下由于存在该文件，所以执行不会有问题。一旦程序
移植到没有该文件的平台下，就会由于文件缺失导致程序出错。

其实解决方法很简单，下载对应文件即可。或由楼主调整自己的编译环境，把该文件
设置为静态调用，重新编译后程序就不会再依赖MSVCR100.dll 文件了。

derrick_goi

回复 9楼 langsileaa 的帖子

这么麻烦的东西还是算了，只是好奇下载来看看而已