![Стар](images/statusicon/post_old.gif)
29-03-2013
|
![Аватара на Rabin](image.php?u=8349&dateline=1291483778) |
форумец-ветеран
|
|
Дата на присъединяване: Aug 2010
Местоположение: София
Мнения: 1,672
Благодари: 1,041
Получил благодарност:
472 пъти в 265 поста
Сваляния: 37
Ъплоуди: 3
|
|
Цитирай:
Първоначално написано от njor
Не бъди толкова сигурен! ![Worry](images/smilies/worry.gif)
|
Aми да обясниш как може да тръгне бабалюга от картинка, да кажем jpeg. Да не вземеш да се закротиш сега, че е често срещан похват. Ще напомням.
Цитирай:
Първоначално написано от Rabin
из нета и има супер много и объркващо инфо.
Основното, за да налази зловреден гад е да получи изпълнение на код. Binary, компилиран код, който процесорът изпълнява. Виждал съм работещ вирус и на стотина байта. Пуснеш ли тоя код с root и правомощия за писане по другите файлове - тоя код се качва в паметта, самокопира след края на файла (изпълним), и пипва началото на файла, за да се изпълни пръв (long jump). Теоретично е невъзможно да бъде заразен файл, различен от изпълним. Има разновидности като макровируси и какво ли не, но те не са чак толкова разпространени, и освен това пак действат през изпълнимия код на "офиса".
Kaто тръгнеш да конфигваш нещо по системата и пускаш изпълними файлове - няма какво да спре кода на вирус да се копира по другите файлове, и после да се изпълни от тях. После user може да си ги доразвъди през неговите права в неговата папка.
Няколко килобайта код имат пълен контрол над машината ти. Тръгне ли с super user правомощие - може да ти форматне диска ако му е кеф. Несчупваемия Линукс - аз съм го крашвал много пъти като се учех да пиша на С. С root права, разбира се.
Фази на размножаване:
1. Прочитане на зловреден код от заразен файл и проверка дали вече не е качен.
2. Качване в паметта.
3. Сканиране за достъпни изпълними файлове.
4. Модифициране на началото и края им на случаен принцип.
Има много разновидности и подточки, но като цяло всички работят така. Дори самия зловреден код може да модифицира, че да не го лови антивируса. Колегите си играеха с XOR, елементарно е.
Вирусите дори ОС може да не знае за тях, че се напъхват под нея. Не се виждат като процес.
Макровирусите работят като интерпретатор и тях ги изпълнява самия М$ офис. Също могат много поразии.
|
Чакам...
Последно редактирано от Rabin : 29-03-2013 на 12:08
|