” Какво имаш предвид с това, че си мислел да си пишеш собствен анализатор? Какво си мислел да включва като функционалност? „
Мислех си да включва същото, което правя в момента с Notepad++. Правилата за засичане на вирус са описани много добре в
тутора. Дадени са и много примери. Лесно може да се напише подобен анализатор, базиран на тези правила, като се използват RegEx-и. Например:
Търсене на exe-та, при които липсва фирма разработчик:
SRV - (NMSAccessU) -- C:\Program Files (x86)\CDBurnerXP\NMSAccessU.exe () - denotes that there is not a company name.
Детектване на съмнителни файлове с атрибути:
R - Readonly
H - Hidden
S - System
[2010/03/15 18:25:02 | 1609,916,416 | -HS- | M] () -- C:\hiberfil.sys - the four designators after the file size can be RHSD and stand for.
Търсене за несъществуващи файлове по "File not found":
O29 - HKLM SecurityProviders - (digiwet.dll) - File not found
Търсене за системни файлове, които са без MD5-сума.
Дори и само тези критерии да се следят от лог-анализатора, за да се осветят редовете, ще са напълно достатъчни. Разбира се може да се добавят всички хватки описани в ръководството. Добре ще е например да детеква дали е използван съкратения режим или подробния, както и дали са включени разпознатите системните и фирмени файлове и т.н.