2M12 Jun 20 at 18:01

Антивирус не помог? Threatbit Simple Scanner находит то, что он пропускает

Medium

3 min

15K

Python * Information Security * Open source * Antivirus protection * Data recovery *

Review

+13

Comments 12

PechoraDev Jun 20 at 18:52

Проект хороший. Плюс в карму и статье. Но вот стиль изложения статьи - нейросеть или сами писали?) Уж больно противоречивые выражения ) Не придираюсь - софт действительно нужный, на днях затестирую, благо есть пациент)

2M12 Jun 21 at 02:39

Спасибо за отзыв :)

Нет, статью писал сам. Просто стиль такой )
Я буду очень рад если вы протестируете мой софт!

2M12 Jun 21 at 12:02

И спасибо большое за плюс в карму и статье :)

dTi Jun 21 at 06:30

Как правило программы, работающие с реестром, позволяют сделать бэкап до очистки (ложноположительные срабатывания никто не отменял). Есть ли у вас такой функционал?

Есть ли возможность воспользоваться regback? Не раз спасало восстановление.

2M12 Jun 21 at 08:59

Спасибо за отзыв :)

Хоть я и в README.md предупреждал насчёт бэкапа (и то что изменения в реестре не опасны). Но пока что нет авто-бэкапа.

Идея с авто-бэкапом и RegBack интересная. Я попробую добавить это в v1.3 и v1.4!

2M12 Jun 21 at 12:33

Я вас ещё добавил в ACKNOWLEDGEMENTS, https://github.com/2M12/ThreatbitSimpleScanner/blob/main/ACKNOWLEDGEMENTS.md если не против конечно

steelfactor Jun 21 at 07:19

Не в плане докопаться, а попробую указать на те возможности, что автор упустил:
1. библиотека winreg это обёртка над Win32 API. Она работает с вызовамиRegEnumValue и RegEnumKey , которые не видят ключи и значения, начинающиеся с null-байта (Russinovich, 2005); как улучшить - через ctypes дергать NtEnumerateKey/ NtEnumerateValueKey, так будет надежнее.
2. В текущей версии os.listdir и os.path.isfile ищет только .exe?Оч часто зловреды используют скрипты (.bat, .ps1, .vbs), динамические библиотеки (.dll), а также различные LOLBins (легитимные исполняемые файлы, которые используютяс не по назначению). Имеет смысл расширить поиск на эти типы файлов.
3. Можно подключить поиск подозрительных строк в просматриваемых скриптах, например 'reg add', 'sc create', 'schtasks', 'wmic'
4. Есть еще пара вариантов, как усилить решение, но это уже без меня, я жадный )
P.S. Если это ваше первое решение, то для начала сойдет. Удачи в развитии!

2M12 Jun 21 at 08:57

Спасибо за отзыв :)

Насчёт NtEnumerateKey интересно.
os.listdir и os.path.isfile ищут вообще всё (нет фильтров).
Идеи хорошие и действительно программу сделают лучше. Думаю реализовать это в v1.3 и v1.4.

2M12 Jun 21 at 12:01

Я вас ещё добавил в ACKNOWLEDGEMENTS, https://github.com/2M12/ThreatbitSimpleScanner/blob/main/ACKNOWLEDGEMENTS.md если не против конечно

steelfactor Jun 21 at 12:29

Спасибо, но для GitHub лучше будет https://github.com/ssteelfactor-oss

Если что, обращайтесь, поделюсь парочкой идей

2M12 Jun 21 at 12:40

Готово, спасибо!

WithVery Jun 21 at 15:26

«Антивирус не помог? Threatbit Simple Scanner находит то, что тот пропускает».