Bueno se que el titulo dice preview pero no aportare código ni el .exe todavía. :P
Bueno aquí esta un vídeo de muestra :
[youtube=640,360]https://youtu.be/pS10TGrQqes[/youtube]
Un Amigo me dijo que la interfaz esta muy sobrecargada por eso le estoy haciendo una nueva, naa en realidad estoy copiando la GUI de 360 Total segurity .
(https://i.ibb.co/fpRmpT6/726609.png)
Bueno cuando termine al anitivus lo subo aqui. contara con :
+Antivirus
*Proteccion y escaneo en tiempo real de los procesos abiertos
*Escaner HEXADECIMAL, tal vez le incluya el md5.
*Semi IA de detección de código malicioso. (tal vez, nc todavía si ponerme en ello)
* ANTI USB AUTORUN .
+TOOLS
*vpn
*encrypter files&Folders
Y MAS... Esperen a por ello XD.
Cualquier cosa que crean necesaria en un antivirus pueden comentarlo.
Buenas, te dire los siguientes consejos.
- Olvidate de lo de detectar basado en md5, es super facil mutar el virus para que cambien las cadenas y demas en cada ejecucion, dando asi un md5 diferente con cada ejecucion.
-La mejor forma es crear un sistema que evalue cada proceso del 0 al 100, si cierto nivel de riesgo es alcanzado... lo eliminas, pero para ello en ciertas ocasiones no te bastara con ser administrador, deberias intentar acercarte al ring0 lo maximo posible.
-Ten en cuenta que todo proceso sigue unos patrones, puedes colectar estos patrones y examinar los procesos abiertos, tambien deberias echarle un vistazo a los PE headers.
-Necesitas proteccion, muchos virus son agresivos e intentaran eliminar el proceso que intente borrarlos.
-Escucha llamadas comunes de los malware y si un proceso abusa de estas, lo analizaria.
Eso seria una introduccion, este campo es super complejo e interesante, te deseo la mejor de las suertes.
Cita de: FranFin en 8 Diciembre 2018, 11:48 AM
-La mejor forma es crear un sistema que evalue cada proceso del 0 al 100.
-Escucha llamadas comunes de los malware y si un proceso abusa de estas, lo analizaria.
Buena idea, eso haré. sobre las llamadas, puedo intentar interceptar cuando llaman al regedit o al taskill etc.
Ando copiando el sistema de alertas del 360, va a ser un .exe el cual sera llamado por lineas de comando. y el antivirus original me lo detecto como virus :o alv q miedo es como si el antivirus detectara q lo ando plagiando :P . y eso que en estos momentos no tiene nada de code solo le ando haciendo la gui .
(https://i.ibb.co/pXPXr9Y/1.jpg)
Sé que el post tiene unos meses, pero me hizo gracia que tu AV detectara que lo estás intentando imitar.
La explicación que dan en SO hace referencia a la detección realizada en distintos ejecutables por los AV:
https://stackoverflow.com/questions/33998715/visual-studio-2015-community-trojan-heur-qvm03-0-malware-gen
De hecho para que te rias un poco.
Mi anti-Malware de bolsillo, escrito en .Net, Strely Cleanner. se detecta así mismo como virus , jajaja nmms , pinche bug se me paso.
De hecho se detecta como : "Win32/Crypt.U.gen"
Win32 = Windows 32 bits. arquitectura x86
Crypt = "Identificadores maliciosos o puede llegar a ser el idenficador de algun Packer para .net"
U = Me reservo la info. >:D
gen = Generico. puede cambiar dependiendo.
Por lo tanto el que detecte un Injector DLL es totalmente valido, pero q detecte mi antivirus es por el Protector que he usado.
(https://i.ibb.co/jH92731/S8.png)