[SVILUPPO] Antivirus Open Source

Salve a tutti. Oggi mi è venuta un idea alquanto bizzarra ma molto intrigante, e spero di poterla ampliare / ridisegnare con voi.

Premessa: cerco persone che possano essere in grado di fare un applicazione, ma non bisogna essere per forza sviluppatori o esperti in Android, perché il grosso del lavoro è tirare fuori dal cilindro un idea e delle caratteristiche interessanti e se vi ritenete persone innovative o con delle idee interessanti, e vi reputate capaci di un simile compito continuate a leggere

Premessa 2: L'app sarà completamente gratuita ed Open Source, nessuno trarrà guadagno da questo progetto perché la sicurezza oggi è una cosa importante, e non c'è alcun motivo per cui gli utenti devano pagare per assicurarsela. L'intero progetto sarà hostato su GitHub, creeremo una repository per lo scopo e ci piazzeremo i file.

Oggi la tecnologia e la sicurezza hanno bisogno di innovazione. Noi siamo quella innovazione. Il mio obiettivo è creare uno strumento potentissimo per fare le seguenti operazioni:

1. Eseguire una scansione delle app installate per verificare la presenza di software dannoso
2. Pulizia dei file inutili al sistema / malware (Non è un cleaner. file dannosi, cache corrotta...)
3. Offrire all'utente semplici ma dettagliate spiegazioni sulla sicurezza informatica
4. Protezione da minacce di WiFi (free wifi)
5. AdBlocker per bloccare annunci, popup pubblicitari e Ads caching
   E molto altro Ancora!

Per unirvi a questo progetto dobbiamo raggiungere una determinata soglia di persone con le quali si può iniziare a creare il progetto, quindi se volete darmi una mano in questa cosa dovete:
Andare su www.github.com e creare un account con la vostra mail e la password.
Copiare il vostro UserName in un commento qui sotto (non il link, solo l'username) per essere aggiunti all'organizzazione.


La repository è https://github.com/DedSecDev/DedSec

Seguire questo progetto nei momenti buchi o nelle ore di tempo libero dove non avete niente di meglio da fare, proprio per non farlo diventare pesante.

Nocciolo della questione: cosa devo fare?
Sviluppatori: Installa Android Studio, le piattaforme SDK per API 18 - 23 sulla tua macchina di lavoro, e procurati un dispositivo per i test. Studia le basi di GitHub (Pull-Requests, Coding, Gists). Preparati, perché il tuo sarà il lavoro più duro che c'è.
Sviluppatori Attuali: @Xois
Ricercatori di sicurezza: Crea una cartella sul tuo computer e crea al suo interno un file di testo chiamato "packages.txt". Cerca su internet App dannose o craccate, estraine il nome pacchetto e aggiungilo al file che hai creato. il nome pacchetto è un codice assegnato univocamente ad un app: un esempio è "com.applicazione.virus". le fonti possono essere anche databases di antivirus esistenti, in questo caso il tuo compito è quello di intercettare/decriptare i database esistenti.
Ricercatori di sicurezza Attuali: @Eddy Geeks, @Lorenzo Morello, @Francesco
Ricercatori UI / UX / Idea: Il tuo compito sarà quello di creare elementi grafici (layout, gradienti XML, immagini, icone) o quello di progettare il layout di un applicazione (Quindi la grafica, i bottoni, i dialoghi, ecc...). Studia le basi di GitHub (Pull-Requests, Coding, Gists)
Ricercatori UI / UX / Idea Attuali: @Xois
WebDev: queste persone si dovranno occupare di creare il sito web per quest'app una volta terminata

Spero di avervi convinto ad unirvi su questo progetto. Ovviamente avrete il vostro nome scritto sia nella descrizione dell'app sia nelle impostazioni, ed è una cosa che può andare sul curriculum CVE

Se vi è venuta un idea nel frattempo non esitate a scriverla nei commenti. Grazie per la collaborazione

— modificato il 22 mag 2017, 18:39:03

Esattamente, è per questo che mi è venuta l'idea. Avere decine di antivirus tutti uguali ma soprattutto tutti inutili è molto triste. Questo progetto, se finito, potrebbe portare a un netto miglioramento del mercato Android. Questo progetto non è ancora iniziato, non trovo nemmeno il nome per questo strumento, ma mi sembra una cosa fattibile e soprattutto utile.
Anche se non sei uno sviluppatore, farai un lavoro molto importante e abbiamo bisogno di Security Researcher, come te.
Se vuoi un consiglio, oltre ai siti che conosci potresti provare a scaricare Packet Capture dal Google Play Store intercettare l'aggiornamento di un database da parte di un'applicazione antivirus, recuperare quel file ed infine violarne il contenuto. Grazie mille, siamo in 2!

Sarebbe una cosa completa fare un encoding del genere:
packagename:virus
packagename2:AdWare

Quando hai tempo crea un tuo account GitHub gratuito per poter accedere alle repository e alle organizzazioni che ho creato per questo progetto. Grazie Mille!

Perfetto! Non avrei saputo farlo meglio!

Ho riso per mezz'ora
Gli antivirus oggi utilizzano database che scaricano da server remoti.
Per catturare i pacchetti, hai bisogno di Packet Capture, quindi scaricala ed installala sul tuo sistema. non necessita del root. Una volta fatto avvii l'applicazione, installi il certificato di sistema se ti viene chiesto, avvii la VPN premendo sul play verde. A questo punto tutti i dati verranno intercettati per essere visibili da te. Quindi dobbiamo forzare l'aggiornamento del database per scoprirne l'URL. Se trovi la voce: "Aggiornamento Versione Database" premila e quindi Packet Capture intercetterà tutti i link criptati. Se per qualche motivo non funziona o non trovi questa voce, scarichi l'applicazione dal play store nuovamente. (Che equivale ad aggiornare i DataBase). mantieni la VPN accesa fino a quando non ha scaricato il database. finito questo semplice passaggio, interrompi la VPN e Apri Packet Capture. Qui troverai una voce, che se cliccata ti porterà a tutti i pacchetti trasmessi in rete dalle applicazioni. Cerca la voce del tuo antivirus e un parametro con un peso (non "no data, ma tipo 4MB).

Una volta che sei a questo punto non ti rimane altro che visualizzare i log HTTP come qui sotto

Adesso dal PC vai a quel link ricostruito (se host=au.ff.avast.com e GET /android il link sarà au.ff.avast.com/android), Scarica il file del database e cerca di aprirlo come archivio, file di testo, esadecimale, codificato, non importa come ma basta che lo apri e che violi il suo contenuto

i processi sono difficili da gestire, mentre invece non si può identificare un malware dal processo. Purtroppo serve solo il nome pacchetto. il 405 è un errore di sicurezza. il server è inattaccabile

Per la grafica, pensavo ad una specie di pagina con un bottone, che se premuto esegue la scansione di tutte le app, del sistema e delle risorse, poi se l'utente conferma le disinstalla.

Per lo sviluppo, pensavo che si potrebbe incollare tramite un ciclo for e i costrutti if ad un BuildString i pacchetto rilevati, poi eseguire il parsing della stringa e con la console di Runtime disinstallare le app.

— modificato il 3 set 2016, 15:16:46

Purtroppo non si può, è una cosa che va oltre la nostra competenza

Certo, più siamo meglio è. Devi, come stiamo già facendo, creare un file di testo sul tuo computer chiamato packages.txt e inserirvi il nome del pacchetto malevolo con accanto una spiegazione. per esempio:
com.android.virus.test:Malware
com.esaybatterysaver.su:Rootlet

Se sei indeciso mettili tutti e due, tipo:
com.double.evended:Ransomware/Trojan

Poi quando avremo finito l'app (mi sto facendo in quattro per finirla) posteremo il codice sorgente su https://www.github.com e da li andremo avanti con aggiornamenti. Pensavo che dovreste fare un account tutti e due, per poi darmi il vostro Username qui in un commento almeno vi aggiungo alla organizzazione e alle repository.
Buon lavoro a tutti!

Io ho ancora fatto pochi pacchetti perché mi sto occupando di tutta la parte tecnica, dello sviluppo e della rimozione malware, dell'UI / UX e delle shapes XML e drawables. Quando arrivo ad un buon numero di pacchetti te li mando

👍👍👍

Grazie mille Lorenzo Morello, sono felice del tuo feedback e della tua proposta e, nonostante mi dispiaccia veramente tanto, devo rifiutarla.
Ti assicuro che non lo faccio perchè non ho bisogno di un sito web o perche non voglio farmelo fare da te, ma solo per un motivo: sto già sviluppando un sito web per me da solo e faccio conto di finirlo di qui a breve.
Grazie comunque per la gentile collaborazione

benissimo, procediamo alla grande! La repository di github è stata creata e ci metterò presto i file.
Francesco, fai un tua Account Github e dammi l'username così ti unisco alla repo

Buone notizie: sto sviluppando ora la parte centrale dell'antivirus e funziona benissimo.
Come hai fatto a capire quello che ha scritto non lo so

OK, ottime features tutte quante aggiunte al catalogo di TODO.
Ora sto sviluppando una specie di scanner complicatissimo, e i miei sforzi si concentreranno principalmente li perché è il cuore dell'applicazione.
File hosts: facilissimi da fare e da applicare, lo aggiungeremo sicuramente all app. basta fare un piccolo eseguibile XD
Nome: pensavo a DedSec, un noto team di hackers.
Appena ho finito il modulo :core: lo mando su github. Stay Tuned!!

FINITO! il meccanismo di scansione virus è completo ed efficiente al 100%

ti ho aggiunto all'organizzazione di GitHub

si credo anche io... provo a intervettare i loro database

Direi ottimo 👍

allora, in quel database ci sono delle codifiche MD5 dei package-name dei malware. (ESEMPIO: se un Ghost Push Trojan ha il package-name come com.ghost.trojan l'md5 sarà bf7cf17f4ead16ac07d1e040d24da7a8). Ovviamente non esiste una crack per gli MD5 e quindi bisogna fare una cosa ricorsiva: dal Package name in scansione si ottiene l'MD5 e se corrisponde a quel database si notifica all'utente di un rischio. ottenendo così anche la stringa del PN

VDB - http://www.file-extension.info/it/format/vdb#
Prova ad aprirlo come file HEX o come DataBase

— modificato il 9 set 2016, 12:03:28