Хэши системных процессов?

Question

[Sl0w130]

Возникла задача написать программу, которая проверяет системные процессы (Диспетчер задач -> Процессы) по хэшу на возможную модификацию.



Например, если вирус маскируется под explorer.exe, то программа сравнивает "правильный хэш" (оригинального explorer.exe), и текущий хэш (зараженный explorer.exe), после чего, если хэши не совпадают, информирует об этом пользователя. Таким образом программа должна сканировать все запущенные системные процессы.

Теперь собственно сам вопрос - есть ли в интернете список оригинальных хэшей системных процессов, таких как explorer.exe?

Comments

[Рональд Макдональд]

Хэши будут меняться, потому что обновления.

[d'Ivan]

Искать информацию по "rootkit detection".

Answer 1

[Keffer]

Что мешает взять оригинал из дистра? Это первое. Второе - чтобы постоянно мониторить хеши на предмет изменения нужны вычислительные мощности неслабые. Будут тормоза как от убогого каспера в свое время.

Comments

[Sl0w130]

Вручную вычислять хэши неудобно и долго, думал, может будут какие-либо уже готовые списки. к тому же, если я правильно понял, хэши системных процессов у каждой версии винды разные. Например у 7 будет один хэш, у 8 - другой, у 10 - третий. Второе - программа запускается единожды при включении пк, проверяет хэши, после чего прекращает работу, как следствие, тормоза будут первые пару минут после запуска пк, после чего они исчезнут.

Answer 2

[Karpion]

Поскольку в Windows постоянно прилетают новые обновления - файлы системы (в т.ч. исполняемые) регулярно меняются.

PS: Ваша идея была реализована ещё во времена DOS.