查看: 7201|回复: 5
收起左侧

[原创工具] ABS杀毒软件入库工具发布

[复制链接]
idgg007
发表于 2022-12-4 16:03:42 | 显示全部楼层 |阅读模式
本帖最后由 idgg007 于 2022-12-4 16:02 编辑

受疫情影响,上周末我被锁在学校,无法接触电脑,故未能公布入库工具以及病毒库结构,承望谅解。

OEM:https://bbs.kafan.cn/thread-2243303-1-1.html
杀毒软件:https://bbs.kafan.cn/thread-2242180-1-1.html

以上是我的杀毒软件以及杀毒引擎OEM,杀毒引擎是一个杀毒软件的核心,很多想做杀毒软件的人会遇到没有杀毒引擎可用的窘境,且我的杀毒软件的病毒库更新几乎停滞,所以我开放了自己的杀毒引擎并开放了入库工具。

病毒库是在Vir目录下,Vir.ini是病毒库配置文件。Vir目录下的内容:



当从病毒库中读取特征时会从1.vir向上枚举,当枚举到不存在的文件时就停止枚举。
Vir.ini内的信息:
  1. LES.bin
  2. LES.EXE
  3. Emotet
  4. Tarjan
  5. mixing
复制代码
每一行对应一种病毒名称,从Vir\文件夹下从Vir\1\开始一一对应,也就是说Vir\N\下的所有文件都对应Vir.ini第N行的病毒名称。
在扫描文件时,只要完全匹配了病毒库的一个文件内的所有指令,就会报毒。


入库工具使用方法:所有指令:(区分大小写)
  1. add     解析单个文件
  2. addF   解析一个目录下的所有文件
  3. addP   解析一个目录下的所有dll、exe、bin文件
  4. exit     退出程序
  5. read    加载指令集
  6. save    保存当前结果
  7. show   显示当前结果
  8. sort     对当前结果进行排序从多到少
复制代码

该入库工具对每一行进行指令识别,每个指令需要单独输入
add、read指令后需要加一个文件路径,addF、addP后需要加一个文件夹的路径。使用示范:

错误示范:

sort指令可以对已经解析出的指令进行从出现次数高到少进行排序,示例:

显示的结果中每个指令下接了一个数表示出现次数
使用save可以将结果保存到record.txt中:

选取你认为可能是病毒的几个指令(这里选了两个)像这样↓复制到另一个文件里,并按照命名规范放入病毒库中。(这样就完成了入库操作了)

如果希望沿用之前分析出的指令继续累加次数可使用read指令将之前的结果给读入进来,继续进行总结。

杀毒软件制作参考博文:https://www.cnblogs.com/unixfy/p/3357827.html

另外读到这里,希望能多多转发,让更多想制作杀毒软件的有志之士看到。

add.7z

221.52 KB, 下载次数: 564

带刀侍卫
发表于 2022-12-4 19:09:18 | 显示全部楼层
签名做一下

360、诺顿、McAfee、趋势、zilly都报毒
研究专家
发表于 2022-12-5 08:49:15 | 显示全部楼层
所以abs还继续开发吗
idgg007
 楼主| 发表于 2023-3-17 23:32:01 | 显示全部楼层
研究专家 发表于 2022-12-5 08:49
所以abs还继续开发吗

我今天居然还更新病毒库了(主要是玩的时候发现病毒库有锅),我还以为我会一直咕咕咕捏QWQ
tjsh
发表于 2023-7-13 11:29:42 | 显示全部楼层
再次尝试
idgg007
 楼主| 发表于 2023-7-13 18:45:54 | 显示全部楼层

杀毒软件都开源了,直接抄代码不就行了
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-22 01:14 , Processed in 0.137114 second(s), 19 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表