ABS杀毒软件入库工具发布

idgg007

受疫情影响，上周末我被锁在学校，无法接触电脑，故未能公布入库工具以及病毒库结构，承望谅解。

OEM:https://bbs.kafan.cn/thread-2243303-1-1.html
杀毒软件:https://bbs.kafan.cn/thread-2242180-1-1.html

以上是我的杀毒软件以及杀毒引擎OEM，杀毒引擎是一个杀毒软件的核心，很多想做杀毒软件的人会遇到没有杀毒引擎可用的窘境，且我的杀毒软件的病毒库更新几乎停滞，所以我开放了自己的杀毒引擎并开放了入库工具。

病毒库是在Vir目录下，Vir.ini是病毒库配置文件。Vir目录下的内容：



当从病毒库中读取特征时会从1.vir向上枚举，当枚举到不存在的文件时就停止枚举。
Vir.ini内的信息：

1. LES.bin
   
2. LES.EXE
   
3. Emotet
   
4. Tarjan
   
5. mixing

复制代码

每一行对应一种病毒名称，从Vir\文件夹下从Vir\1\开始一一对应，也就是说Vir\N\下的所有文件都对应Vir.ini第N行的病毒名称。
在扫描文件时，只要完全匹配了病毒库的一个文件内的所有指令，就会报毒。


入库工具使用方法：所有指令：（区分大小写）

1. add     解析单个文件
   
2. addF   解析一个目录下的所有文件
   
3. addP   解析一个目录下的所有dll、exe、bin文件
   
4. exit     退出程序
   
5. read    加载指令集
   
6. save    保存当前结果
   
7. show   显示当前结果
   
8. sort     对当前结果进行排序从多到少

复制代码

该入库工具对每一行进行指令识别，每个指令需要单独输入
add、read指令后需要加一个文件路径，addF、addP后需要加一个文件夹的路径。使用示范：

错误示范：

sort指令可以对已经解析出的指令进行从出现次数高到少进行排序，示例：

显示的结果中每个指令下接了一个数表示出现次数
使用save可以将结果保存到record.txt中：

选取你认为可能是病毒的几个指令（这里选了两个）像这样↓复制到另一个文件里，并按照命名规范放入病毒库中。（这样就完成了入库操作了）

如果希望沿用之前分析出的指令继续累加次数可使用read指令将之前的结果给读入进来，继续进行总结。

杀毒软件制作参考博文：https://www.cnblogs.com/unixfy/p/3357827.html

另外读到这里，希望能多多转发，让更多想制作杀毒软件的有志之士看到。

带刀侍卫

签名做一下

360、诺顿、McAfee、趋势、zilly都报毒

研究专家

所以abs还继续开发吗

idgg007

研究专家 发表于 2022-12-5 08:49
所以abs还继续开发吗

我今天居然还更新病毒库了（主要是玩的时候发现病毒库有锅），我还以为我会一直咕咕咕捏QWQ

tjsh

再次尝试

idgg007

tjsh 发表于 2023-7-13 11:29
再次尝试

杀毒软件都开源了，直接抄代码不就行了