## Amangeldi Nurgalym, СИБ 23-01

### 5. Программа для анализа файлов на наличие вредоносного кода
#### 	Задача: Разработать утилиту для сканирования файлов на наличие вредоносных программ и анализ их поведения.


#### Сначала создаем файл rules.yar с правилами YARA для обнаружения вредоносного кода:

In [3]:
yara_rules = """
rule ExampleMalware
{
    meta:
        description = "Пример правила для обнаружения вредоносного кода"
        author = "Nurgalym"
        date = "2024-11-18"

    strings:
        $malicious_string1 = "malicious_code_signature"
        $malicious_string2 = { E2 34 A1 C4 66 }
        $url_indicator = "http://malicious-url.com"

    condition:
        any of ($malicious_string1, $malicious_string2, $url_indicator)
}

rule AnotherExample
{
    meta:
        description = "Rules2"
        author = "Your Name"
        date = "2024-11-18"

    strings:
        $suspicious_command = "cmd.exe /c"

    condition:
        $suspicious_command
}
"""

with open("rules.yar", "w") as file:
    file.write(yara_rules)


In [6]:
import os
import hashlib
import magic
import yara

def calculate_file_hash(filepath):
    """Расчет хэша SHA-256 файла."""
    hash_sha256 = hashlib.sha256()
    with open(filepath, "rb") as f:
        for chunk in iter(lambda: f.read(4096), b""):
            hash_sha256.update(chunk)
    return hash_sha256.hexdigest()

def scan_with_yara(filepath, rules):
    """Сканирование файла с помощью правил YARA."""
    matches = rules.match(filepath)
    return [match.rule for match in matches]

def analyze_file(filepath, yara_rules):
    """Анализ файла на наличие вредоносного кода."""
    try:
        file_type = magic.from_file(filepath)
        file_hash = calculate_file_hash(filepath)
        yara_matches = scan_with_yara(filepath, yara_rules)

        analysis_result = {
            "file_path": filepath,
            "file_type": file_type,
            "file_hash": file_hash,
            "yara_matches": yara_matches,
        }

        if yara_matches:
            analysis_result["suspicious"] = True
        else:
            analysis_result["suspicious"] = False

        return analysis_result
    except Exception as e:
        return {"file_path": filepath, "error": str(e)}

def scan_directory(directory, yara_rules):
    """Сканирование всех файлов в директории."""
    suspicious_files = []
    for root, _, files in os.walk(directory):
        for file in files:
            file_path = os.path.join(root, file)
            result = analyze_file(file_path, yara_rules)
            if result.get("suspicious"):
                suspicious_files.append(result)
    return suspicious_files

# Создаем правила YARA
yara_rules = yara.compile(filepath="rules.yar")

# Указываем директорию для анализа
directory_to_scan = "C:/Users/LENOVO/Desktop/Весь материал Нургалыма"

# Запускаем анализ
results = scan_directory(directory_to_scan, yara_rules)

# Выводим результаты
if results:
    print("Обнаружены подозрительные файлы:")
    for result in results:
        print(f"Файл: {result['file_path']}")
        print(f"Тип: {result['file_type']}")
        print(f"Хэш: {result['file_hash']}")
        print(f"YARA правила: {', '.join(result['yara_matches'])}")
        print("-" * 40)
else:
    print("Подозрительных файлов не обнаружено.")


Подозрительных файлов не обнаружено.


# Вывод:

##  Результат "Подозрительных файлов не обнаружено" означает, что программа написанная мной не нашла подозрительных файлов или же вредоносных программ при сканировании директории "C:/Users/LENOVO/Desktop/Весь материал Нургалыма".