[Rabin]

Цитирай:

Първоначално написано от njor

Не бъди толкова сигурен!

Aми да обясниш как може да тръгне бабалюга от картинка, да кажем jpeg. Да не вземеш да се закротиш сега, че е често срещан похват. Ще напомням.

Цитирай:

Първоначално написано от Rabin

из нета и има супер много и объркващо инфо.
Основното, за да налази зловреден гад е да получи изпълнение на код. Binary, компилиран код, който процесорът изпълнява. Виждал съм работещ вирус и на стотина байта. Пуснеш ли тоя код с root и правомощия за писане по другите файлове - тоя код се качва в паметта, самокопира след края на файла (изпълним), и пипва началото на файла, за да се изпълни пръв (long jump). Теоретично е невъзможно да бъде заразен файл, различен от изпълним. Има разновидности като макровируси и какво ли не, но те не са чак толкова разпространени, и освен това пак действат през изпълнимия код на "офиса".
Kaто тръгнеш да конфигваш нещо по системата и пускаш изпълними файлове - няма какво да спре кода на вирус да се копира по другите файлове, и после да се изпълни от тях. После user може да си ги доразвъди през неговите права в неговата папка.
Няколко килобайта код имат пълен контрол над машината ти. Тръгне ли с super user правомощие - може да ти форматне диска ако му е кеф. Несчупваемия Линукс - аз съм го крашвал много пъти като се учех да пиша на С. С root права, разбира се.

Фази на размножаване:
1. Прочитане на зловреден код от заразен файл и проверка дали вече не е качен.
2. Качване в паметта.
3. Сканиране за достъпни изпълними файлове.
4. Модифициране на началото и края им на случаен принцип.

Има много разновидности и подточки, но като цяло всички работят така. Дори самия зловреден код може да модифицира, че да не го лови антивируса. Колегите си играеха с XOR, елементарно е.
Вирусите дори ОС може да не знае за тях, че се напъхват под нея. Не се виждат като процес.
Макровирусите работят като интерпретатор и тях ги изпълнява самия М$ офис. Също могат много поразии.

Чакам...