Всем привет,

В связи с нашумевшей атакой "solarwinds attack", "Supply Chain attacks".
Никто не застрахован что малварь может прилететь в любой момент, от вполне безобидного действия, даже при наличии Антивируса.
Задача задетектить присутствие RAT\стилера\трояна.

Поэтому возникла идея : Разработать софт который создает файлы\папки "Приманки" и фильтрует все запросы к ним.
Пример приманок — папка профиля Bitcoin\Etherium\Kiwi\Banking приложений (в реестре его ветка), какието папки на дескторе и в My Documents типа "LastPass export", "Project Source Code" .
Наборы этих приманок могут быть разными, но обьеденят их то что вы как владелец ПК ими не должны ими никогда пользоваться (по причине не надобности), но изза своей популярности или внешнего вида они представляют интерес для зловредов.

Если Драйвер фильтр FS — ловит к ним запрос на чтение\запись — делаем дамп процесса и закрываем его либо всю систему в Синий Экран.
(ну можно исключения сформировать за пару дней после установки)

Что скажете ?
Спасибо!

Задайте себе простой вопрос: лично Вы хотите быть приманкой для ловли крокодила на охоте?

Это самая здравая идея стартапа, которую я слышал на этом форуме за последний год, без шуток.
Такой софт должен продаваться задорого, может даже по подписке (противодействие малвари, которая учится детектить honeypot'ы).
Корпорации так вообще платят за такое кучу денег.

Ключевой момент — сделать так, чтобы этот софт не светился в списке процессов, драйверов, виртуальных ФС и прочее. И приоритезировать разработку фич, понять, что есть MVP, иначе можно закопаться.

Если бы мой скил был не в области веба, а в таком вот системном программировании, я бы плотно изучил тему и возможно начал бы (всё же нужно понять, что уже есть на рынке).

Здравствуйте, sharez, Вы писали:

S>Это самая здравая идея стартапа, которую я слышал на этом форуме за последний год, без шуток.

А если человек реально пользуется биткойнами? Эту папку будет использовать реальный софт, а новый антивирус будет его прибивать. А если еще и в BSOD систему будет уводить... Ой...

Здравствуйте, sharez, Вы писали:

S>Это самая здравая идея стартапа, которую я слышал на этом форуме за последний год, без шуток.

Это хрень полнейшая.
Любой нормальный анти-Ransom делал такое ещё года 3-4 назад. Причём у хороших реализаций папки эти были чисто виртуальные, создаваемые внутри файлового фильтра. И данные в них тоже были виртуальными. На реальный диск они никогда не попадали.

Здравствуйте, IID, Вы писали:

IID>Здравствуйте, sharez, Вы писали:

S>>Это самая здравая идея стартапа, которую я слышал на этом форуме за последний год, без шуток.

IID>Это хрень полнейшая.
IID>Любой нормальный анти-Ransom делал такое ещё года 3-4 назад. Причём у хороших реализаций папки эти были чисто виртуальные, создаваемые внутри файлового фильтра. И данные в них тоже были виртуальными. На реальный диск они никогда не попадали.

А можно линк либо название софта? я поискал но ничего подобного не видел, за исключением vray, но это решение для других задач скажем так.

A>Что скажете ?
A>Спасибо!

Да что идея? Кто клиенты? Объем рынка? Перспективы? Цена привлечение клиента? Маржа? Конкуренты?

Где деньги, Зин? =)

Здравствуйте, Alex, Вы писали:

A>Всем привет,

A>Поэтому возникла идея : Разработать софт который создает файлы\папки "Приманки" и фильтрует все запросы к ним.
A>Что скажете ?
Почитайте про Canarytokens

Здравствуйте, IID, Вы писали:

IID>Это хрень полнейшая.
IID>Любой нормальный анти-Ransom делал такое ещё года 3-4 назад.

Взаимоисключающие высказывания. Если это очевидно полнейшая хрень, зачем её начали реализовывать уже "3-4 года назад"?
Рынок с конкурентами — хорошо, без конкурентов — плохо (как правило).
Надо только понять, в чем наш софт будет лучше, специфичнее, нишированнее. Про изучение рынка я ведь писал в своем первом посте.

Здравствуйте, greatis, Вы писали:


A>>Поэтому возникла идея : Разработать софт который создает файлы\папки "Приманки" и фильтрует все запросы к ним.
A>>Что скажете ?
G>Почитайте про Canarytokens
Ух ты спасибо!

Здравствуйте, Alex, Вы писали:

A>Что скажете ?
A>Спасибо!

уже есть, называется _любой современный антивирус_.
Real-time protection ловит обращение процесов к определенным папкам на диске/ключам реестра. Вайтлистит процессы, кототрым можно, на всех остальных ругается.
Современные зловреды от этого умеют защищаться, но часть ловится.