Thema: Delphi *.dcu Checker for DelphiVirus

Einzelnen Beitrag anzeigen

Benutzerbild von MaBuSE
MaBuSE

Registriert seit: 23. Sep 2002
Ort: Frankfurt am Main (in der Nähe)
1.837 Beiträge
 
Delphi 10 Seattle Enterprise
 
#5

Re: Delphi *.dcu Checker for DelphiVirus

  Alt 21. Aug 2009, 10:09
Zitat von BenBE:
Da potentiell die Gefahr besteht, dass auch andere Delphi-Versionen als die durch den Proof of Concept infizierten Versionen 4-7 infiziert werden, arbeite ich derzeit daran, für die verschiedenen Delphi-Versionen die Prüfsummen zusammenzutragen. Das Tool wird voraussichtlich für D3 bis D2009 (ggf. 2010) die Prüfsummen enthalten (deutsche+englische Versionen); wer zusätzliche Units hat, bitte an mich melden (oder im DF mit anhängen lassen).
Das ist eine gute Idee. Anhand der gescannten dcu Dateien kannst Du dann auch das Patchlevel der IDE erkennen und den Benutzer auf ein Update hinweisen

Zitat von BenBE:
Das Tool von mir wird voraussichtlich auch einen Patcher für befallene EXE-Dateien beinhalten, der versucht, befallene EXE-Dateien zu reinigen. Dieser Patcher ist jedoch nicht als Ersatz für eine saubere Delphi-IDE, sondern als kurzfristiges Hilfsmmittel zu verstehen, der auf kurze Sicht befallene EXEn nutzbar machen kann.
Das funktioniert natürlich nur bei dem jetzigen Virus. Sobald Mutationen auftreten, die nicht mehr der Signatur entsprechen, nach der Du suchst, ...

Zitat von BenBE:
Derzeit suche ich noch nach einer Möglichkeit um die in meinem Scanner einfließenden Signaturen gegen Manipulationen zu sichern.
Das wird schwierig werden, da Du ja auch die Möglichkeit bieten solltest bewust durchgeführte Änderungen an der VCL (z.B. eigene Bugfixes) zuzulassen.
Sprich eigene Signaturen zu erzeugen zu können. Eine Möglichkeit wäre z.B. bei Installation des Scanners ein Passwort zu erfragen, das beim erstellen eigener Signaturen wieder anzugeben ist.

Zitat von BenBE:
Als Quelle für die Prüfsummen sollte die Delphi-Installations-CD verwendet werden.
Stimmt, aber nicht alle Versionen gibt es als Install CD.
Z.B. Delphi 7.1 oder Delphi 2007 für Win32 Dez. Upd.

Zitat von BenBE:
@MaBuSe: Erweiter bitte dein Programm für die Generierung\Abgleich der im DF genannten Prüfsummen, da wir dann gleich abgleichen können (CRC32, MD5, SHA1, SHA256 und SHA512); zusätzlich das DCU-Source-Datum (das wird dann mein Tool aber mit auslesen, sofern nicht bekannt).
Kann ich bei Gelegenheit machen, aber ich habe im Moment viel zu tun...

Zitat von BenBE:
P.S.: Eine verifizierbare GnuPG-Signatur bei deiner EXE wäre nicht schlecht
Klingt gut, aber ich muß mich erst mal schlau machen was GnuPG Signaturen sind
(°¿°) MaBuSE - proud to be a DP member
(°¿°) MaBuSE - proud to be a "Rüsselmops" ;-)
  Mit Zitat antworten Zitat