sealouce - Mo 08.09.08 20:26
Titel: Exe Finder (zum aufspüren von Viren)

---

Hi ich bin noch recht neu hier trotzdem habe ich, wie ich denke nen ganz nützliches Programm geschrieben.

Es ist sicherlich noch ausbaubar.

Das Programm zählt alle .exe Dateien und speichert sie als Liste.
Beim nächsten Start zeigt es alle neuen oder alle entfernten Deteien an.
So erhält man einen Überblick über alle Programme und so auch über Programme die sich unbefugt installieren. (Viren, Trojaner, ...)

Ich empfehle dieses Programm im Autostart laufen zu lassen.

Sollten keine neuen .exe Dateien gefunden worden sein schließt es sich selbst wieder.
Optisch macht es keinen besonderen Eindruck. Proge mit Delphi 5.


Ich würde mal gerne eure Meinung oder Verbesseungsvorschläge zu dem Programm hören.

Die Liste wird in 2 seperaten Dateien gespeihert.
Einmal C:\Anzahl // die Anzahl der ExeDateien
und C:\ExeFiles // Eine Liste mit allen Exe Dateien

Boldar - Mo 08.09.08 21:03

---

Der findet bei mir nur 5 stück^^
Es ist vielleicht in Erwägung zu ziehen, dass ein "Schadprogramm" auch eine andere Festplatte als C: nutzt :wink:

__

Delete - Mo 08.09.08 21:05

---

sealouce hat folgendes geschrieben:

Die Liste wird in 2 seperaten Dateien gespeihert. Einmal C:\Anzahl // die Anzahl der ExeDateien und C:\ExeFiles // Eine Liste mit allen Exe Dateien

Damit ist es für mich schon unbrauchbar. Zum einem, weil die Dateien da nicht hingehören - und ich hasse Programme, die sich nicht an die Spielregeln halten und ihre Dateien irgendwo auf der Festplatte verteilen - und desweiteren hab eich dort keine Schreibrechte, weil ich eben genau aus dem Grund aus dem du dein Programm geschrieben hast, nur als normaler Benutzer unter Windows arbeite. Bei mir können sich keine Programme unbemerkt installieren.

Und warum brauchst du eigentlich zwei Dateien dafür?

wazup - Mo 08.09.08 21:21

---

Bei mir startet das Programm nicht einmal...

sealouce - Mo 08.09.08 21:41

---

Ist ja erstmal nur die Grundidee zusammen gebastelt.
Das mit den Laufwerken werd ich mal übernehmen, sodass er alle Laufwerke prüft.
Zudem das es sich unter Programme (auf Erlaubniss)^^ einen Ordern anlegt wo es seine Dateien hinein speichert.
Und das es nur noch eine .txt speichert bekomme ich sicherlich auch noch hin.

Boldar hat folgendes geschrieben:

Der findet bei mir nur 5 stück^^ __

Weshalb es nur 5 Dateien anzeigt ist mir nen Rätsel ist eigendlich das gleiche wie Command

cd C:\
C:\ dir /s *.exe >bla.txt

Wenn dort bei dir auch nur 5 Dateien angezeigt werden und du Windows auf Laufwerk C hast würd ich mir Gedanken machen^^

Timosch - Mo 08.09.08 21:57

---

sealouce hat folgendes geschrieben:

Zudem das es sich unter Programme (auf Erlaubniss)^^ einen Ordern anlegt wo es seine Dateien hinein speichert.

Man speichert keine Anwendungsdaten im Programmeordner. Merk dir das bitte, denn genau dieser Fehler ist der Grund, warum Unmengen Software nicht ohne Administratorrechte läuft. Anwendungsdaten gehören in den Anwendungsdatenordner, der eben nicht unter \Programme liegt, sondern i.d.R. unter \Dokumente und Einstellungen\Username\Anwendungsdaten. Aber bitte nicht darauf verlassen, sondern den korrekten Ordnernamen abfragen. Wie das geht, verrät dir die Suchfunktion. Aber bitte NICHT im Programmeordner speichern. Denn dort haben nur Administratoren (und unter Vista standardmäßig selbst die nur eingeschränkt, siehe UAC) Zugriff. Genau diese Vorgehensweise ist der Grund, warum gemeckert wird "Unter Vista funktioniert Programm X nicht". Dabei sollte schon seit Windows NT 3.1 bekannt sein, dass man Anwendungsdaten nicht im Programmeordner ablegt.
Sorry für die harschen Worte, aber genau dieses Fehlverhalten ist der Bug Nr. 1 in Punkto Vista-Kompatiblität, und durch Fehler lernt man bekanntlich.

elundril - Di 09.09.08 13:18

---

deine idee ist zwar sehr schön und vermutlich großteils gut umgesetzt, jedoch viel lernen du musst junger Delphianer!

Einerseits speichert man seit XP die Dateien die ein Programm benutzt im Anwendungsdatenordner des jeweiligen Users.

Wenn User die zwei dateien lesen sollen, dann sollte der User auch bestimmen dürfen wohin er diese gern gespeichert hätte.

Außerdem ist es imho so das viren nicht auf der festplatte zu finden sind, da sie sich in "tote" sektoren reinspeichern.

lg elundril

Delete - Di 09.09.08 13:48

---

Das ist erst seit XP so, sondern seit es Windows NT gibt. Aber was sind um Gottes willen "tote" Sektoren?

elundril - Di 09.09.08 13:54

---

hmm, stimmt, das gibts nur bei FAT, sorry!

Tote sektoren hab ich einfach nur den bereich genannt bei den sektoren die nicht ganz voll geschrieben sind, also wo meistens eine datei endet. Da das keine Fachmännische bezeichnung ist hab ich das "tote" auch so schön unter anführungszeichen gesetzt.

Aber ich denke das die Viren unter NTFS doch auch nicht offen als EXE herumliegen werden oder?

Delete - Di 09.09.08 14:18

---

Daten können sich keine Sektoren teilen.

Boldar - Di 09.09.08 14:40

---

Luckie hat folgendes geschrieben:

Daten können sich keine Sektoren teilen.

Theoretisch schon, aber man kann dann nicht darauf zugreifen^^
Nee, aber mal ernsthaft, die meisten Viren sind ne exe, welche dann ihren opcode in eine dll (zb.Kernel32.dll) oder in eine andere exe kopieren und sich dann selbst löschen!
Also ist beim Neustart keine Datei hinzugekommen.

baka0815 - Di 09.09.08 14:49

---

Natürlich könnte sich ein Virus in ein Fragment der Festplatte schreiben, das laut "Inhaltsverzeichnis" (FAT [http://de.wikipedia.org/wiki/File_Allocation_Table]) leer ist, allerdings kann der Benutzer den Virus dann nicht starten, da die Daten ja "nicht existieren".

Dies würde nur gehen, wenn an anderer Stelle hinterlegt ist, wo die Daten des Virus liegen, die ausgeführt werden sollen. Nichts desto trotz benötigt es dann ein Programm (EXE, COM) die den Code an den entsprechenden Stellen der Festplatte einliest und ausführt.
Aber, bei JEDEM neuen schreibenden Zugriff auf die Festplatte KÖNNTEN die Daten dort überschrieben und der Virus somit gelöscht werden. Ist also ziemlich unsicher das der Virus überhaupt noch da ist, wenn die "böse EXE" gestartet wird. :)

Timosch - Di 09.09.08 14:57

---

Wenn man raffiniert ist, hookt man die Datensystemfunktionen, sodass die entsprechenden Dateien nicht mehr auf gewöhnlichem Wege auffindbar sind (->Rootkit). Da gabs mal ein gutes Buch von Greg Hoglund, aber ich gehe nicht davon aus, dass ich den Namen hier posten darf.

Boldar - Di 09.09.08 15:04

---

Timosch hat folgendes geschrieben:

Da gabs mal ein gutes Buch von Greg Hoglund, aber ich gehe nicht davon aus, dass ich den Namen hier posten darf.

Naja, dann hättest du es gleich lassen können...
man gibt bei google GREG HOGLUND BUCH ein und findet das Buch an zweiter stelle^^
Ich nehme zumindest an dass du das meinst??
Aber dass buch ist ja nicht irgendwie verboten oder sowas...

sealouce - Di 09.09.08 15:26

---

Es ist sicherlich möglich Com und Exe Dateien auf ihre Datei Größe zu Prüfen und wenn diese Größer als normal ist kann man davon ausgehen das sie verändert wurde und das könnte man anzeigen lassen.
So könnte man doch infizierte Dateien idendifizieren oder irre ich da ???

Zudem muss ich dazu noch Prüfen ob es auch die gleichen Exe Dateien sind denn wenn die Anzagl der Liste mit den gefunden Dateien übereinstimmt prügt das Prog nicht weiter.

Hidden - Di 09.09.08 15:40

---

Hi,

Im Prinzip wäre es doch möglich, beliebig große Abschnitte der Festplatte zu hashen und alle geänderten Teile aufzuführen; dann noch sortieren nach .exe, etc.

mfG,

Delete - Di 09.09.08 18:09
Titel: Re: Exe Finder (zum aufspüren von Viren)

---

sealouce hat folgendes geschrieben:

Hi ich bin noch recht neu hier trotzdem habe ich, wie ich denke nen ganz nützliches Programm geschrieben. Es ist sicherlich noch ausbaubar. ... Ich würde mal gerne eure Meinung oder Verbesseungsvorschläge zu dem Programm hören.

.
.
Oh, bist Du naiv!

Hidden - Di 09.09.08 19:24
Titel: Re: Exe Finder (zum aufspüren von Viren)

---

hathor hat folgendes geschrieben:

Oh, bist Du naiv!

Na, na ;) Diese Vorstellung mag naiv sein; besonders durch deine Verallgemeinerung wirkt das aber schon ein bisschen demotivierend, oder?^^

Edit: Ist aber auf jeden Fall nützlicher als manch anderes, mit denen sonst der Einstig gemacht wird ;)

mfG,

Narses - Di 09.09.08 19:54

---

Moin!

Ich setze hier mal ein Signal, bevor das Thema in eine unschöne Richtung umschlägt:


cu
Narses

Narses - Di 09.09.08 20:02

---

Moin und :welcome: im Forum!

sealouce hat folgendes geschrieben:

Es ist sicherlich möglich Com und Exe Dateien auf ihre Datei Größe zu Prüfen und wenn diese Größer als normal ist kann man davon ausgehen das sie verändert wurde und das könnte man anzeigen lassen. So könnte man doch infizierte Dateien idendifizieren oder irre ich da ???

Was ist denn "normal" für eine Com- oder Exe-Datei? ;) Aber um deine Frage zu beantworten: nein, so kann man das nicht feststellen. Beweis: ein Linkvirus könnte mit einem Exe-Packer-Verfahren "Platz" für sich selbst schaffen (ggfs. mit Byte-Müll auffüllen), so dass die Datei die gleiche Größe, aber einen anderen Inhalt hat. :idea: Du musst also, um sicher zu gehen, eine Prüfsumme der Datei berechnen (z.B. nach dem MD5-Algorithmus), damit klar ist, ob die Datei verändert wurde.

sealouce hat folgendes geschrieben:

Zudem muss ich dazu noch Prüfen ob es auch die gleichen Exe Dateien sind denn wenn die Anzagl der Liste mit den gefunden Dateien übereinstimmt prügt das Prog nicht weiter.

Dein Einsatz in allen Ehren, aber das Thema "Virenscanner" ist eins der komplexesten, die du anschneiden kannst. :? Dein Ansatz z.B. berücksichtigt nicht die schon weiter oben erwähnten sogenannten "root-kits", die deinem Programm glaubhaft versichern, dass die schädliche Software gar nicht da ist... :hair: Damit ein Virenscanner deiner Bauart überhaupt eine Chance hat, muss er bei der Installation ein "sauberes" System vorfinden und jegliche Änderungen daran erkennen (und gegebenenfalls verhindern) können. Bist du sicher, dass du das schaffst? :nixweiss:

cu
Narses

sealouce - Di 09.09.08 23:25

---

Narses hat folgendes geschrieben:

Bist du sicher, dass du das schaffst? :nixweiss:

Mit meinem jetzigen wissen sicherlich noch nicht. Deswegen werd ichs erstmal in eine Schublade legen.
Aber ich denke auf diese Art und Weise ist es vllt nicht alt so schwer einen mehr oder weniger guten Antivirus zu basteln.
Frage: Gibt es AntivirenSoftware die auf dieser Idee aufbauen? Zumindest bräuchte es nicht so oft geupdatet werden^^
Trotzalledem, denke ich Proge erstmal nen HtmL Editor zusammen ^^ :gruebel:

Gausi - So 07.12.08 21:18

---

Ich habe hier mal ein paar Werbe-Postings entfernt. Und natürlich auch die Antworten darauf. ;-)

wazap - So 07.12.08 21:39

---

Das Prog findet bei mir fast 5000 EXE Dateien. Allerdings find ich das verhalten des Programms eigenartig...

blablab - So 15.02.09 15:40

---

ich hatte zuletzt nen virus drauf. aber der war gar keine exe sondern eine vmx, dll und bmp datei. ich glaub die allerwenigsten viren haben die endung .exe, deshalb halte ich dein programm leider für unsinnvoll...