Язык разработки: python 3.7
LokiSA - анализатор на базе антивируса Loki, который разрабатывается, чтобы стать достойной заменой (или дополнением) AVPGameProtect.
Анализатор использует 3 метода обнаружения вредоноса:
LokiSA на данном этапе развития может определять очень мало угроз.
Для запуска сканирования с аргументами, вам необходимо производить запуск через CMD или .bat-файл.
Пожалуйста, сообщите о ложных срабатываниях! (предоставьте файл, хэш или правило срабатывания)
Как помочь мне улучшить анализатор:
NOTICE: проект не имеет коммерческого смысла, анализатор создан просто потому, что могу. А еще мне нужно чем-то заняться летом. Антистиллер не является копипастой ( https://blast.hk/threads/34452 ), а идея его создания была у меня до того, как я наткнулся на эту тему.
Download: https://mega.nz/#!Pv5wBCSB!nnq1HUsdqiVS99Aobqpuq81PYoQX8oMO6mlFugCDKV0
Примечание модератора: файлы не проверялись детально и могут быть небезопасны
Virustotal: https://www.virustotal.com/gui/file...2d385ec2795b9ef5d4460926adfbf58cfab/detection / https://www.virustotal.com/gui/file...1709b7c36a3d781faa5acec8c90e33348df/detection
Внимание! Некоторые антивирусы (их мало) могут ругаться на файл lokisa.exe, т.к. в нем склеены приватные сигнатуры некоторых вредоносов.
LokiSA - анализатор на базе антивируса Loki, который разрабатывается, чтобы стать достойной заменой (или дополнением) AVPGameProtect.
Анализатор использует 3 метода обнаружения вредоноса:
- IOC индикаторы, регулярные выражения и ключевые слова.
- Сигнатурный движок Yara ( https://virustotal.github.io/yara/ ). Соответствие сигнатур файловых данных и процесса (в будущем).
- Проверка хэша. Сравнение известных вредоносных хэшей (MD5, SHA1, SHA256) с отсканированными файлами.
LokiSA на данном этапе развития может определять очень мало угроз.
Код:
usage: lokisa.exe [-h] [-p path] [-s kilobyte] [-l log-file] [-a alert-level]
[-w warning-level] [-n notice-level] [--printAll]
[--allreasons] [--nofilescan] [--nolevcheck]
[--scriptanalysis] [--noindicator] [--dontwait] [--intense]
[--csv] [--onlyrelevant] [--nolog] [--update] [--debug]
optional arguments:
-h, —help show this help message and exit
-p path Путь сканирования
-s kilobyte Максимальный размер файла для проверки в КБ (по умолчанию
5000 КБ)
-l log-file Логирование
-a alert-level Уровень угрозы, при котором отображать ALERT
-w warning-level Уровень угрозы, при котором отображать WARNING
-n notice-level Уровень угрозы, при котором отображать NOTICE
—printAll Вывод всех сканируемых файлов
—allreasons Вывод всех причин, что добавляют уровень угрозы
—nofilescan Пропустить сканирование файлов
—nolevcheck Пропустить проверку расстояния Левенштейна
—scriptanalysis Активировать скриптовый анализ
—noindicator Не показывать индикатор прогресса
—dontwait Не ожидать выхода
—intense Режим интенсивного сканирования (сканирование неизвестных
типов файлов и всех расширений)
—csv Вывод в формате лога
—onlyrelevant Отображать только угрозы и предупреждения
—nolog Не записывать в лог
—update Обновление сигнатур.
—debug Дебаг-мод
Код:
usage: lokisa-upgrader.exe [-h] [-l log-file] [--sigsonly] [--progonly]
[--nolog] [--debug] [--clean]
LokiSA - Upgrader
optional arguments:
-h, —help show this help message and exit
-l log-file Log file
—sigsonly Обновить только сигнатуры
—progonly Обновить только файлы программы
—nolog Не сохранять лог
—debug Дебаг-мод
—clean Очистить дирикторию сигнатур.
Пожалуйста, сообщите о ложных срабатываниях! (предоставьте файл, хэш или правило срабатывания)
Как помочь мне улучшить анализатор:
- Предоставьте файлы стиллеров различных версий.
- Предоставьте хэш вредоносного файла.
- Предоставьте сайты со стиллерами, их онлайн созданием.
NOTICE: проект не имеет коммерческого смысла, анализатор создан просто потому, что могу. А еще мне нужно чем-то заняться летом. Антистиллер не является копипастой ( https://blast.hk/threads/34452 ), а идея его создания была у меня до того, как я наткнулся на эту тему.
Download: https://mega.nz/#!Pv5wBCSB!nnq1HUsdqiVS99Aobqpuq81PYoQX8oMO6mlFugCDKV0
Примечание модератора: файлы не проверялись детально и могут быть небезопасны
Virustotal: https://www.virustotal.com/gui/file...2d385ec2795b9ef5d4460926adfbf58cfab/detection / https://www.virustotal.com/gui/file...1709b7c36a3d781faa5acec8c90e33348df/detection
Внимание! Некоторые антивирусы (их мало) могут ругаться на файл lokisa.exe, т.к. в нем склеены приватные сигнатуры некоторых вредоносов.
Version 1.1 - работа над PE файлами.
Добавлено обнаружение строк URL: Посмотреть вложение 31334
URL - адреса выводятся правилом с уровнем угрозы 40 - NOTICE.
Добавлено большое количество WIN API сигнатур для определения работы с сетью и файлами компьютера.
Добавлено 66 хэшей файлов в вайт лист.
Добавлены сигнатуры подозрительных строк.
Добавлены криптосигнатуры для обнаружения шифрования файла.
Добавлены новоые сигнатуры вредоносов. Спасибо @Artemka_2018 .
Добавлена проверка энтропии файла для обнаружения упакованности.
Добавлено обнаружение строк URL: Посмотреть вложение 31334
URL - адреса выводятся правилом с уровнем угрозы 40 - NOTICE.
Добавлено большое количество WIN API сигнатур для определения работы с сетью и файлами компьютера.
Добавлено 66 хэшей файлов в вайт лист.
Код:
b228adbf1d83b5151b62ef66e02010fc4f74ee0a86bf9ab20a1bba4ca13bde3b;Cleo Asi
81a0bf6f6485d6e239b044a1b57e773c8c10c5d67352d4642ee25a8bff241515;Base DLL
b2da4f1e47ef8054c8390ead0b97d1fbb0c547245b79b8861cfa92ce9ef153fb;Moonloader or Cleo libs
ff976f6e965e3793e278fa9bf5e80b9b226a0b3932b9da764bffc8e41e6cdb60;Moonloader or Cleo libs
907a8c5d0fcaf9bde4dba4841be19f5ee4b89ab19466dec967835c8c5ada6e7a;Moonloader or Cleo libs
7f02af34a92b286bcad9ff5afc3deede314737b9957a9f1cad0108fb087555b6;Moonloader or Cleo libs
b4737e1d1d687dbcb865eae69cf8113be6b3e9441d45c3ffc895b4bc3c41cb9c;Moonloader or Cleo libs
cba9525d93957d6b442ef019557cf6c47bde0aad07652c897900475335e281e0;Moonloader or Cleo libs
aaf492a38689d1b2c24dbc966b3c23727e6d1d961ddd513a5b4942283fd95559;Moonloader or Cleo libs
f8b12223b5bc4909b90d7b4774c43668f123d094ade3d0d379cb0514e7815c39;Moonloader or Cleo libs
fa7d32f0f88d212f30a131686a08a0d2a3d480c04d4666200571d87e304ca31d;Moonloader or Cleo libs
a91b2e74c99633788b669a55ffccefa6d40980b816054d86d9cda208df37d3fa;Moonloader or Cleo libs
2f093e36fc36ec56c852181f428c1d5b6ad9d1071b53f21e93946c490a24609a;Moonloader or Cleo libs
bb4cc421b7606055d1d517775b15ce77a27ad97b14de2fc31c9d9e3cf788b98f;Moonloader or Cleo libs
f11c13152a8f6fbc44d3c3fa8a8c804d7fbb2d22a20a869a130e6da3264e7862;Moonloader or Cleo libs
9fa1f6c66644a3e14a7d0e8d2937512963773fd047fa6826482caa304ecf964c;Moonloader or Cleo libs
4e19bac2a3e0a3e854143ed9259b82a4f405409b0d2928e10a27db672bf346be;Moonloader or Cleo libs
7f02af34a92b286bcad9ff5afc3deede314737b9957a9f1cad0108fb087555b6;Moonloader or Cleo libs
e845e535e70086ab72f18d53d00cf80d15300089ab78db3eff383b5854e8667f;Moonloader or Cleo libs
cba9525d93957d6b442ef019557cf6c47bde0aad07652c897900475335e281e0;Moonloader or Cleo libs
4253191c312fa4a25bfd38a87ffde01d4f606df7491463b8aefa3034dec2127f;Moonloader or Cleo libs
651a2bcac36f8098453555773fe6c69b47b639b9ce34164caa10cc2abc134a4a;Moonloader or Cleo libs
cd8a78699852953bacb1af21f38e0140652c4e7c7661773e672c06ccd8cb41c9;Moonloader or Cleo libs
f64d11680442cea5940614177b5ecff866e1e45c07a95cd5564327a94e8101d3;SAMP Libs
b01e73b7c26b56513aa5e63eaaf21e0e;SAMP Libs
2b7b803311d2b228f065c45d13e1aeb2;SAMP Libs
90223f6248b55e0813687fe1b7277dd7;SAMP Libs
71e0281b4ff0ec6f192a2bda4d00effd;SAMP Libs
b1f05747f3f2c601a348508c9a48cc89;SAMP Libs
ec7fc1b2d143ce3de49ee800aeb9d2d5;SAMP Libs
84cfadb08b354f24aab7a096348e622e;SAMP Libs
3d069d3322809ccae92f315f53b5ad52;SAMP Libs
fe4b7386f7149826ec682c5816f91ae4;SAMP Libs
91a0a646c18d2f17ec3aff9fd94e235a;SAMP Libs
7801fc85df72041ba497bade4b258da5;SAMP Libs
498f5cefe33f01cb27918a5374ba5ca88bce18cdd8409d3555574892c5c4eec4;SAMPFUNCS
6e28325dfd2c9ec928048a0c50eecd6e2232670656f8a7cb870618bb676981c9;ModdedSAAByDarkP1xel.ASI
0b8f8db65ab40b57e12436baf39efd9079235d40b1c959b320cf275fe2357a28;AntiStealer.ASI
d38d23fc4066ba1b6bd86ccb32f25fd5c9b7b9e9526cb7dd9c7d6e17244db84e;!0P1HookByDarkP1xel.ASI
35557e834d60deedfabebe6ec06413e071b2df85e24a61c5c2ce0f64f9a57e39;AutoComplete.sf
d7e2b4d5b0a128ac1b7291b0b56f28a80fd6ac3e4780ffaeaf87975948647e23;Chat++.asi
b6b936dfe96412d320ad251eee9c84582230061799c94ddd2163925168b409f1;ChatKey.asi
1d4561d674c4c799f8a1fec442a25b6fb4352f38450fe5ea41d3564caf738f5a;CMDHelper.sf
4fc222c4bd75d8742a8661eecdefb003118905a98b255835584b6417b71c07e1;CustomLoadScreen.asi
c00c1ec23d28d77eadb5ef20560da1eb8344e921b085de9e4e604b055343e259;CustomStartScreenByDarkP1xel.ASI
5373ff0f453c95d547c5cd67188cd504a4cee0f66ed0c5a57e914827fc968648;DarkBoardByDarkP1xel.SF
083543fb7171c678767318e5e8afad374e2acbc0bf215e7f1e2a47c1c6e6bd3e;DarkVK.asi
cc23273627e074a6a832e9bed4a248b33ca98d0315b984ac240edd34b2d460ad;efc.asi
4d06b1bc6543d9bd0d186f82b04f08c0d7031e73bf7d087c3669157aa832bea4;fpslimit.asi
34e079fe7a5327b1ad598f9c439b5eb408a1a04e72de5012943828d75171a0eb;FPSUnlockRXByDarkP1xel.ASI
e8fb017c3bf9acec6092cfeb32346289f41f721fa05acd73fad3658f1a4ae435;IP Checker.sf
f265c37734b4f7cba9dd061bcd01b0523984084b5792effc46f9c86b5163ac2f;MineChat.asi
bf66fb43d6abc76a6c717ecdb16523c74d24f970743190c2d18fc396731979b8;modtools.luac
79ae799b9e42973a7b5c7c56b9d9830bce8affb5bf1f5123debdfbb3a3f9a7ba;MPRadarByDarkP1xel.ASI
08898b7de6f3a43dc1a58b1b4879fef3a4a31a2a547df8bce48c31a38baa30f5;MVDHelper 305 025
facd4317bfa1f78b93f079614ef56db9005ed5336dcf99ccb775f15ef6eb2ee7;MVDHelper 305 026
f0e242a4b6603561259f1bb3e205eec53d5389ec68c243b8f6b9022750b202f1;MVDHelper Crack 305 025
f101c7a8b40469a693a46141967d3e2982889e53391f16d54d6aad877f0376ba;policetools.lua
e99512b8d8d137c980724464274816adc592a48fbc04934b939d64eee1638ff8;NoDustAndSandFxByDarkP1xel.ASI
887becc759aefbcd4c6fcd3bdd293e035de71e511431d4f1889439e51051107c;NoPauseDelayByDarkP1xel.ASI
bea05d819a43060e02399d0ad1c405e671777538483cb66595b9ac69159ff33c;normalmap.asi
628f7607954a9ac245d2b146b8d65ec3ec83fa42eb4a112a1fb96c4fd94771a6;PHelper.lua
7e30f3c9cd99d5e2932410f486e8139affa2dad19bd65ad9c328f6a4071943f7;SAMP DLL
f7c4372c8545121938230ae0c9f1d9bd297836e8ad37afa710ee93f2c4791ade;SAMP EXE
77817b885bac74bc08d378a9b711d83bd8c32fbd1abd634fc28c2c58f95e2502;SprintHookByDarkP1xel.ASI
294af327682bd3c80db055d8e29e8220980fd97bf4e9a68dc87ac4b2e3b7d543;ScriptPtrol.luac
71a94210196c09aa217852eb752c04444c3eb8eba28badbff0a19f7f0d4ad91b;MoonImGui.dll
Добавлены криптосигнатуры для обнаружения шифрования файла.
Добавлены новоые сигнатуры вредоносов. Спасибо @Artemka_2018 .
Добавлена проверка энтропии файла для обнаружения упакованности.
Последнее редактирование: