第八期来得迟了点,其实这个工具8月份完成了80%,9月份主要是重构优化了一下。
预备知识:
一个ICO文件,其实是由不同尺寸的BMP文件组成的,即可以将ICO理解为一个BMP数组,{48*48,36*36,24*24…}
windows会根据需要,选择适当大小的图片。比如,“平铺”选择的是48*48的,“列表”选择的是16*16的
工具原理:
1·遍历文件夹,扫描“是PE&会显示图标”的文件,选择其ICON_GROUP的第一个图标资源作判断
2·枚举该图标里的所有尺寸的图片,与Pattern中的相应尺寸的图片 比较每个像素的RGB,容差在某个范围内,则认为HIT
3·当该图标的某个尺寸的图片的所有像素HIT的百分比在某个范围内,则认为图标HIT,即认为是文件夹图标病毒
优势:
相比 通过提取文件CRC来判断一个文件夹病毒,通过图标来判断更为可控,更为迅速。而且,调整好几个阀值之后,理论上不会误报。
后续开发计划:
增加免疫功能;增加修复功能;增加实时监控功能
说明:
由于我目前收集的样本数有限,所以Pattern比较少,检测效果可能不是很好。以后我会扩充Pattern。