Поиск угроз в реальном времени

424
RPK

Я хочу сделать небольшую программу, способную загружать файлы из облака в мою систему. Когда файл попадает в мою систему, другая программа в моей системе проанализирует файл и попытается найти в нем подозрительное поведение.

Я хочу сделать систему, похожую на ThreatExpert (www.threatexpert.com). Подозрительные данные, собранные моей программой, будут отправлены антивирусным компаниям для анализа.

Я хочу знать, может ли эта программа быть написана на .NET или как веб-сайт PHP. У меня нет опыта облачных вычислений. Как получить файлы из облака?

1
«Облако» просто ничего не значит. В основном это Интернет. Если под «облаком» вы подразумеваете некое «распределенное хранилище», вы обычно скачиваете файлы, как и любой другой файл, по HTTP. Snark 14 лет назад 4

2 ответа на вопрос

1
spowers

Частично это можно сделать с помощью проекта honeyclient MITRE ( http://www.honeyclient.org/trac ) и / или captureBAT ( https://www.honeynet.org/node/315 ), однако вам может понадобиться скрипты для выбора и загрузки файлов. Honeyclient предназначен для поиска веб-сайтов, которые используют вашу систему, а captureBAT - это инструмент поведенческого анализа, помогающий характеризовать программное обеспечение. Это будет выполняться на виртуальной машине с запуском по одной программе за раз, и затем необходимо будет изучить файлы журналов, чтобы определить, является ли поведение программного обеспечения действительно вредоносным.

0
James Polley

Что означает «Облако» в данном случае?

В общем, ответ таков: вы будете использовать HTTP в качестве транспорта. Это очень хорошо для задачи отправки запроса и получения файла обратно.

Есть ли источник, откуда можно собирать файлы для анализа? RPK 14 лет назад 0
Какие файлы вы хотите? Вы просто ищете случайные файлы или имеете в виду что-то особенное? James Polley 14 лет назад 0
Какие файлы вы хотите собрать? Snark 14 лет назад 0
Я думаю, что он на самом деле хочет скачать образец вирусного кода или что-то в этом роде. Этот вопрос заставляет меня дергаться. 14 лет назад 1
Я не хочу распространять образец вирусного кода. Просто посетите сайт www.threatexpert.com. Что он делает? Он собирает вредоносные программы в режиме реального времени. Я хочу протестировать эвристику современных AV, а также написать свою собственную программу для обнаружения вредоносных программ в режиме реального времени. В случае обнаружения моя программа автоматически отправит подозрительные файлы AV-компаниям. RPK 14 лет назад 0
Правильно - поэтому логичный вопрос, который я должен задать в данный момент: «Где вы планируете получать ваши файлы?», За исключением того, что вы уже спросили нас, где вы должны получать свои файлы, поэтому ясно, что вы понятия не имеете. James Polley 14 лет назад 1

Похожие вопросы