Poner en cuarentena programáticamente los archivos

Navega tus respuestas
0

Situación: uso de Python para crear un software de cuarentena simple para malware.

Lo que sé:

Entiendo (desde este foro nada menos) que una de las formas es colocar el archivo en un directorio de cuarentena y desactivar todo acceso a él (es decir, 0000 permisos de archivos de Linux).

Otra forma es mezclar el binario para que no se pueda ejecutar cuando se haga "doble clic", pero se puede descifrar si el usuario decide que el archivo es seguro y lo quiere de vuelta.

Problema: no estoy convencido de que los archivos de cuarentena sean tan simples como eso.

Pregunta: ¿Cuáles son otras formas en que los antivirus utilizan para poner en cuarentena los archivos que puedo usar?

Información adicional: Evite los métodos propietarios, ya que este método se implementará en mi código.

    
pregunta Timothy Wong 26.01.2018 - 09:11
fuente

1 respuesta

1

Permítame explicarle un mecanismo que usamos en el pasado en un AV comercial en el que estaba trabajando:

  1. El motor AV detecta el malware.
  2. Creamos un nuevo archivo con un encabezado con metainformación (marca de tiempo, nombre del malware, sha del archivo, etc.) y después del encabezado el archivo original. Al hacer esto, no nos preocupamos por los permisos del archivo y al ejecutarlo de forma accidental o cosas por el estilo.

Esto nos funcionó y podría darle una idea de lo que puede hacer en su implementación.

    
respondido por el camp0 26.01.2018 - 09:19
fuente

Lea otras preguntas en las etiquetas

¿Diferencia entre el control de acceso no discrecional y el basado en roles? Obtención de una detección de PHISH / Zmate.omna por Avira cuando actualizo mi página, pero los escáneres de sitios web en línea muestran que la página está limpia