Как я могу выявить вредоносный код на python?

Question

[sneakypeaky]

Я заказал бота Telegram в интернете у кодера, хочу узнать, как я могу его проверить на вредоносный код, не имея навыков в програмировании на Python? Своими глазами я вряд ли увижу, то чего стоило бы опасаться. Есть ли какие то инструменты для выявления того, чего не должно быть в коде?

Answer 1

[Михаил Р.]

как я могу его проверить на вредоносный код, не имея навыков в програмировании на Python?

Своими глазами я вряд ли увижу, то чего стоило бы опасаться.

Найти того, кто сможет.

Есть ли какие то инструменты для выявления того, чего не должно быть в коде?

Антивирус? Но врятли на python пишут вирусы, а все остальное на вирусы не тянет, но данные утащить может.

Comments

[sneakypeaky]

Тоесть нету никаких инструментов которые бы смогли затетектить что то?

[shurshur]

sneakypeaky, готовый - вряд ли. Тем более как именно определить вредоносное действие? Удаление первого файла из "моих документов" - это вредоносное действие? А вдруг именно это и задумывалось, что скрипт по каким-то правилам удаляет лишние документы?

Если кодер нанимался через какую-нить фриланс-биржу, то ему вообще вряд ли интересно мочить свою репутацию. Ну в конце концов можно нанять другого кодера на code review, чтобы он просмотреть написанное и дал ему оценку. Вряд ли два случайных кодера будут в сговоре друг с другом.

[Михаил Р.]

sneakypeaky,

Тоесть нету никаких инструментов которые бы смогли затетектить что то?

Ну вот смотрите, непорядочный разработчик заложит бэкдор и дублирование любого отправляемого контента себе (чтобы поглядывать, чем Вы там занимаетесь и в случае чего, от Вашего имени напортачить Вам). Антивирус откуда должен значит, что так было НЕ задумано и Вас обманывают? А если так и было задумано, тогда антивирус будет постоянно выносить Вам мозги?

Answer 2

[Александр]

ищи в коде "eval" - это как первый признак сокрытия чего то.

Comments

[Anton Kuzmichev]

DATA = ["value", "bin", "_list"]
VALUES = ["202010031121241112232020", "04000102"]


def get_data_value(index):
    value = ""
    for x in range(0, len(VALUES[index]), 2):
        i, s = tuple(map(int, VALUES[index][x : x + 2]))
        value += DATA[i][s]
    return value


if __name__ == "__main__":
    getattr(vars()[get_data_value(0)], get_data_value(1))("print('pwned')")

Лень уже было скрывать код для выполнения. Но идею вроде передал)

[Александр]

Anton Kuzmichev, ну напишите свои предложения как простому человеку понять что от него что-то хотят скрыть? Какие конструкции не применяются в обычном программировании, но применяются в плохом?

Потому что заплатить за бота xxxx руб и за его проверку на вшивость yyyyy руб - это бред.