Хабр Курсы для всех
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Поток Информационная безопасность доступен 24/7 благодаря поддержке друзей Хабра
Комментарии 6
Проект хороший. Плюс в карму и статье. Но вот стиль изложения статьи - нейросеть или сами писали?) Уж больно противоречивые выражения ) Не придираюсь - софт действительно нужный, на днях затестирую, благо есть пациент)
Как правило программы, работающие с реестром, позволяют сделать бэкап до очистки (ложноположительные срабатывания никто не отменял). Есть ли у вас такой функционал?
Есть ли возможность воспользоваться regback? Не раз спасало восстановление.
Не в плане докопаться, а попробую указать на те возможности, что автор упустил:
1. библиотека winreg это обёртка над Win32 API. Она работает с вызовамиRegEnumValue и RegEnumKey , которые не видят ключи и значения, начинающиеся с null-байта (Russinovich, 2005); как улучшить - через ctypes дергать NtEnumerateKey/ NtEnumerateValueKey, так будет надежнее.
2. В текущей версии os.listdir и os.path.isfile ищет только .exe?Оч часто зловреды используют скрипты (.bat, .ps1, .vbs), динамические библиотеки (.dll), а также различные LOLBins (легитимные исполняемые файлы, которые используютяс не по назначению). Имеет смысл расширить поиск на эти типы файлов.
3. Можно подключить поиск подозрительных строк в просматриваемых скриптах, например 'reg add', 'sc create', 'schtasks', 'wmic'
4. Есть еще пара вариантов, как усилить решение, но это уже без меня, я жадный )
P.S. Если это ваше первое решение, то для начала сойдет. Удачи в развитии!
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Антивирус не помог? Threatbit Simple Scanner находит то, что он пропускает