AGB  ·  Datenschutz  ·  Impressum  







Anmelden
Nützliche Links
Registrieren
Zurück Delphi-PRAXiS Projekte Unerwünschte Dateien bei Virusaktivität überwachen/löschen

Unerwünschte Dateien bei Virusaktivität überwachen/löschen

Ein Thema von Go2EITS · begonnen am 19. Aug 2006 · letzter Beitrag vom 17. Sep 2006
Antwort Antwort
Seite 2 von 3     12 3   
Go2EITS
Registriert seit: 25. Jun 2006
Hier mein erstes Open-Source Programm. Es ist keine Bananensoftware! (Reift beim Anwender!) In der DP habe ich viel dazugelernt. Hier ein Programm, dass aus der Not heraus in der Praxis entstanden ist, und so manchen aus der Klemme helfen kann. Source ist größtenteils auskommentiert.

Watch2006 1.0 ist nun da! Mo,11.09.2006
Watch2006 1.0 - Freeware -
Es ist die verbesserte Version von Watch 0.6 (Open Source).


Watch 0.6 online: Mo, 18.8.2006 18.30 Uhr
- Kleine Verbesserungen
- Design zur Version 0.4 wesentlich verbessert.
- Neue Screenshots
- Sourcecode und Exe zum Sofortprobieren dabei.

Bedienung
Button: Liste akt. :Aktualisiert die Liste
Button: Liste edit. :editieren der Liste
Button: Search :Erweitert die Ansicht mit der Suchfunktion
Button: Alerts :Anzeige ein- bzw. ausklappen.
Button: ON :Überwachung der Anzeige ein/aus
Klick auf Minimize rogramm ins Systray verstecken
Klick aus Systray rogramm wird wieder angezeigt
Klick auf X rogramm wird beendet
Button Exit :Ohne Worte

Datei zu Liste hinzufügen:
Benutzer kann Datei auswählen und zur Liste hinzufügen.
Alternativ kann dabei die Datei gelöscht werden.

Suchfunktion: Mit der Suchfunktion kann man eine Datei auf einer gesamtem Platte suchen.
Sternchen sind nicht erlaubt. Es muss der vollständige Name angegeben werden: z. B. Notepad.exe
Gefundene Dateien kann man in die Überwachungsliste übernehmen.

Benötigte Bibliotheken:
CoolTrayIcon http://subsimple.com/delphi.asp
EButton: http://www.delphipraxis.net/internal...ct.php?t=85812

Packer: 7zip
Link: www.7-zip.org/de/

Allgemein:
Design ganz einfach gehalten, Programm kann in Systray gelegt werden, Liste kann individuell bearbeitet werden. Relativ kleiner Code. Überwachung im Hintergrund resourcenschonend alle 30 Sekunden.

Das Problem:
Auf meinem System befand sich eine sehr hartnäckige Datei: C:\winnt\kernel32.ime die einen Virus beinhaltete, die sich trotz LöschenOnReboot nicht beseitigen ließ. Ich habe kurzerhand das System aus einer Image wieder hergestellt und mein Programm Watch 0.1 heute morgen programmiert und installiert, um zu sehen, wann die Datei kernel32.ime auftaucht, wenn ich meine diversen Programme einspiele.

Dabei kam mir die Idee, dass Ihr auch unerwünschte Dateien habt, die Ihr natürlich erst entdeckt, wenn es zu spät ist. Ein DirWatcher hat den Nachteil, alle Änderungen anzuzeigen - in meinem Tool könnt Ihr ganz leicht über den Button LISTE in der Watch.ini die Datei mit dem Pfad angeben und die Datei wird gemeldet, wenn sie angelegt wird. Auf Knopfdruck wird die Datei gelöscht und wenn dies nicht möglich ist, beim Reboot gelöscht. Wenn die Datei wieder angelegt wird, z. B. über einen verstecken Service, so ist der Verursacher wohl über ein Tool von www.sysinternals.com zu finden. Hier der Link zu dem excellenten FileMonitor: Filemonitor Den Verursacher kam man in der Watch.ini einzutragen.

Die Lösung:
  • Eintragen der unerwünschten Datei (vorerst) mit Path in einfache Textliste
  • Überwachen der kritischen Dateien in der Textliste
  • Sofortiges Löschen bei Erstellen der Datei
  • Löschen bei Reboot des Systems (wenn normales Löschen nicht möglich ist)
  • Sourcecode für Änderungen dabei

Notepad.exe dient uns als Dummy, die auf C:\ kopiert werden kann. Die unter C:\Winnt oder (XP) c:\windows befindliche Notepad.exe bleibt natürlich unangetastet.

Schreibt Eure unerwünschten Files hier rein, ich kopiere, je nach meiner Zeit, die Strings in die Watch.ini. Auf weitere konstuktive Verbesserungsvorschläge bin ich schon gespannt!

ToDo:
(Wenn Interesse am Programm Euerseits besteht

- Viele Neuerungen sind nun in´der 0.6er Version
- Änderungen von Dateien überwachen, ob diese verändert wurden (Code eingeschleust?).
- Möglichkeit Filemonitor von Sysinternals.com einbinden zu lassen.
CU!
Go2EITS
Miniaturansicht angehängter Grafiken
aktion2_114.png   aktion__853.png   snap_451.png  
Angehängte Dateien
Dateityp: 7z watch_0.6_381.7z (191,9 KB, 61x aufgerufen)
 
Go2EITS

 
Delphi 7 Personal
 
#11
  Alt 19. Aug 2006, 22:23
@Luckie
Mein Tool setzt da an, wo die kommerziellen Tools nicht weiterhelfen.
Oder, wenn über eine Boot-CD, die befallene Datei beseitigt wurde, trage ich die Datei in die Liste,
damit ich weiß: System wirklich clean.

Das habe ich schon sinngemäß beantwortet:
Zitat:
Idealerweise sucht Du den ParentThread mit dem Prozessexplorer von sysinternals und schießt den ab. Natürlich trägst Du ihn in die Liste ein, um zu beobachten, ob er wieder auftritt.
Und genau dafür ist mein Tool da: Als Hilfe, die Ursache zu finden. Aber es ist Ggeschmackssache, wie man vorgeht. Das Tool läuft neben Virenscanner. Und sobald die kernel32.ime wieder auftritt, werde ich sofort gewarnt. Nicht erst, wenn ich meinen Virenscan, der meinen Rechner 2 Stunden lahm legt, über die ganze Platte laufen lassen. Oder ich nach div. Abstürzen meinen Explorer mühsam bemühen muss.

Und wenn jeder solche Dateien hier eintragen würde, die auf Virentätigkeit oder Rootkits schließen würde, hätte mein Prog Sinn. Da es keiner macht, hat es wohl nur für mich einen (Lehr)-Wert.

Beste Grüße
Go2EITS
  Mit Zitat antworten Zitat
Benutzerbild von Luckie
Luckie

 
Delphi 2006 Professional
 
#12
  Alt 19. Aug 2006, 22:30
OK. Wenn du meinst.

Ich habe die Sourcen nicht gesehen, aber nutzt du einen Timer? Das geht auch ressourcenschonender, in dem man das Verzeichnis auf Änderungen überwacht: Hier im Forum suchenverzeichnis überwachen.
Michael
  Mit Zitat antworten Zitat
Go2EITS

 
Delphi 7 Personal
 
#13
  Alt 20. Aug 2006, 04:31
@Lukie
Du hast recht. Aber alle 30 Sekunden 1-10 Dateien nachsehen ist mit einem Timer resourcenschonend.
Für die Zwecke sollte es reichen.

Die Verzeichnisüberwachung steht aber in meinem ToDo.
(In Delphi2005 ist sogar eine Unit zur Verzeichnisüberwachung dabei.)
  Mit Zitat antworten Zitat
Benutzerbild von Luckie
Luckie

 
Delphi 2006 Professional
 
#14
  Alt 20. Aug 2006, 05:42
Polling ist nie ressourcenschonender. Gehst du alle fünf Minuten an die Tür und guckst, ob dein Besuch schon da ist? Oder läst du dich durch die Türglocke benachrichtigen?
Michael
  Mit Zitat antworten Zitat
Go2EITS

 
Delphi 7 Personal
 
#15
  Alt 20. Aug 2006, 10:10
@Luckie
Wenn mehr Leute das Programm verwenden, dann füge ich die Verzeichnisüberwachung ein, vorher nicht. Die vorgesehene Aufgabe erfüllt es derweil, auch wenn es den Ansprüchen unter Euch Profis (dafür habe ich Verständis) nicht ganz gerecht wird. Das Programm ist Open Source. Du darfst es frei verwenden, ändern oder ergänzen oder sogar kommerziell nutzen.


Beste Grüße!
Go2EITS
  Mit Zitat antworten Zitat
Go2EITS

 
Delphi 7 Personal
 
#16
  Alt 22. Aug 2006, 13:16
Watch 0.4 online: Mo, 22.8.2006, 13.15 Uhr
Neues Design dank Cherry
http://www.delphipraxis.net/internal...ct.php?t=85812
  Mit Zitat antworten Zitat
Go2EITS

 
Delphi 7 Personal
 
#17
  Alt 22. Aug 2006, 16:01
Watch Version 0.5 nun erstellt. Mo, 22.08.2006, 16.00 h
- Verbessertes Design
- 2 neue Buttons zum "Aufklappen" der Form.
- "Große Ansicht" wenn ein verdächtiges File gefunden wurde.
- "Bug" mit Timer gelöst.

Einfach einmal Notepad.exe nach C:\ kopieren und sehen was passiert!

Programm zum Download siehe Seite 1, erster Beitrag.

Die Endversion kommt diese oder nächste Woche.
  Mit Zitat antworten Zitat
Go2EITS

 
Delphi 7 Personal
 
#18
  Alt 22. Aug 2006, 18:45
So eine Std. hatte ich noch zum Überarbeiten. Oben die neueste Version Watch 0.6
Geht das Programm eigentlich auch unter XP? Screenshot wäre nett!
So, bist zum nächsten Update. CU! Go2EITS
  Mit Zitat antworten Zitat
Benutzerbild von Mackhack
Mackhack

 
Delphi 2006 Architect
 
#19
  Alt 3. Sep 2006, 03:50
Mach noch n XPManifest rein dann hast du ueberall wenn der User es moechte den XP Look!
  Mit Zitat antworten Zitat
Go2EITS

 
Delphi 7 Personal
 
#20
  Alt 6. Sep 2006, 12:06
@Mackhack
Das Update kommt in Kürze in Form eines Freeware Programmes namens Watch2006, dass
kurz vor der Fertigstellung ist. Damit kann man verdächtige Files aufspüren. Und es verwendet kein Polling mehr. Das Manifest für XP ist dann drin.

Unten zwei Screenshots vom neuen Programm, dass zum Wochenende wohl erscheint.
Auf der ersten Seite diese Threads befindet sich die Opensource Version mit der .exe um das Programm selbst zu erweitern.

Viel Vergnügen.
Go2EITS
Miniaturansicht angehängter Grafiken
filewatch2006-alarm_991.jpg   filewatch2006_174.jpg  
  Mit Zitat antworten Zitat
Themen-Optionen Thema durchsuchen
Thema durchsuchen:

Erweiterte Suche
Ansicht

Forumregeln

Es ist dir nicht erlaubt, neue Themen zu verfassen.
Es ist dir nicht erlaubt, auf Beiträge zu antworten.
Es ist dir nicht erlaubt, Anhänge hochzuladen.
Es ist dir nicht erlaubt, deine Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks are an
Pingbacks are an
Refbacks are aus

Gehe zu:

Impressum · AGB · Datenschutz · Nach oben
Alle Zeitangaben in WEZ +1. Es ist jetzt 19:40 Uhr.
Powered by vBulletin® Copyright ©2000 - 2021, Jelsoft Enterprises Ltd.
LinkBacks Enabled by vBSEO © 2011, Crawlability, Inc.
Delphi-PRAXiS (c) 2002 - 2021 by Daniel R. Wolf