Rins BANNED Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Подцепили тут как-то одни знакомые вирус W32/Expiro, он перезаражал половину файлов на другом разделе, Доктор Вэб его опознал и даже вылечил, так что размер стал как у оригинальных файлов, но только в заголовках несколько байт изменились, так что винда, которая стояла на том разделе, стала ругаться, что системные файлы были изменены и перестала работать. Так что пришлось смотреть по логу Доктора Веба, какие файлы были заражены, и копировать их вручную с дистрибутивного диска   Добавлено: bredonosec Цитата: Вот и тут - опишите принципиальную возможность разделить неизвестные вам данные произвольного файла от неизвестных вам данных тела вируса, из которого вы только сигнатуру знаете. Тогда рассказывайте о "нежелании". Всё довольно просто - Win32.Expiro добавляет к файлу новую секцию UPX0 со своим кодом так что антивирусу остаётся только отрезать эту секцию и подправить заголовок. Я думаю, что большинство вирусов, которые умеют заражать файлы, действуют аналогичным образом - добавляют к файлу новую секцию, так что определить, что именно нужно отрезать, не составляет труда Всего записей: 326 | Зарегистр. 26-12-2001 | Отправлено: 14:05 13-11-2011 | Исправлено: Rins, 14:40 13-11-2011

bredonosec Platinum Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: Я думаю, что большинство вирусов, которые умеют заражать файлы, действуют аналогичным образом - добавляют к файлу новую секцию я не знаю про бинарные файлы, не сравнивал на comparerзараженный и здоровый, но как-то тут на борде приводился пример заражения текстовых (напр, хоть хтмл) - там код явно выделялся тем, что это были кракозябры, а не текстовые символы. Собственно, кусок был в середине файла,ближе к началу. Поскольку это было несколько лет назад, деталей не помню. Речь только о том, что совсем необязательно тело будет прицеплено в конце.   Добавлено: collocutor Цитата: Вы имеете ввиду написателей антивирусных программ?   нет. Критиков. Которые считают, что "он колдун - значит он всё может, главное ножом под ребро убедительно ткнуть!"   Цитата: Во-первых - не нужно лукавить насчёт незнания данных тела вируса, у антивирусных компаний накоплены огромные базы этих самых тел. да будет вам известно, в антивирусных базах не тела целиком. Иначе размер оных баз был бы больше размера ваших винтов, а процесс напоминал бы старую хохму -   http://forum.ru-board.com/topic.cgi?forum=3&topic=3400#1 ^) Там только сигнатуры. Ака характерные последовательности символов уже скомпилированного и зашифрованного, зажатого вируса. Именно благодаря чему вьюноши и делают вид, что пишут свои - берут код готового, добавляют пробелы, мусор, пока закомпиленный не перестанет определяться антивирем.   Я таки вам даже больше скажу, некоторые антивири в базы вносят сразу сигнатуру шифровщика (хз, как его правильно назвать), который часто используется для запаковки вирей. То есть, сигнатура вообще к вирю отношения не имеет.     Но дикарям пофиг. Они веруют, что колдун всё знает, всё умеет, а если не умеет, значит не хочет...   Всего записей: 16257 | Зарегистр. 13-02-2003 | Отправлено: 03:25 14-11-2011

Rins BANNED Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору В принципе главная проблема в том, что восстановить заражённый файл, чтобы запускался можно, а вот восстановить до исходного состояния - весьма проблематично, так что всякие сертификаты и электронные подписи станут недействительными, что может привести ко всяким проблемам. Так что при нынешних темпах развития вирусов единственным надёжным средством является регулярное создание полного образа диска. Всего записей: 326 | Зарегистр. 26-12-2001 | Отправлено: 21:30 14-11-2011 | Исправлено: Rins, 21:33 14-11-2011

bredonosec Platinum Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: достаточно добавить сервер для дистанционного лечения вирусов, на основе уже имеющихся баз.   и опять охота на ведьм и шаманов....   не желаете сравнить скорость сравнения с цепочкой из, скажем, 20 байт, и цепочкой из 20 килобайт?   А потом умножить сию разницу на число вариантов тела от каждого васи пупкина, зашифрованных разными пакерами, которые вообщене вносятся в базы сейчас, ибо по одной сигнатуре опознаются, не желаете?     А посчитать. сколько времени ваши сотни гиг будут по вашему каналу гнаться в сша дла "проверки"? И куда вам ваши же соседи засунут мышку, узнав, почему скорость настолько упала? А вспомнить, что вас таких миллиард?     Цитата: Про "колдунов" не совсем понятно. Если Вы о сравнении "непросвящённых" пользователей "молящихся" на "чудеса", являемые "гуру" антивирусных компаний нет. Про вас с вашим идиотским настроем "но мы-то ушлые потомки, больше знаем, глубже бурим, в антивирусной науке всё иначе запендюрим" при полном отсутствии понимания.   Специально о вас песня.   http://www.audiopoisk.com/track/6aov-timur/mp3/bednii-nestor-pri-kopta6ei-pri-lu4ine--razvivaa-fomenko/   Цитата: а либо недостаточность квалификации программистов   слушайте песню. Быть может, осознаете, что вы несете     Rins Цитата: восстановить заражённый файл, чтобы запускался можно, а вот восстановить до исходного состояния - весьма проблематично,   мне кажется, даже запуск - далеко не факт. Ну будет ссылаться на утраченные инструкции. Или обращаться куда-то, в область, которой нет. Или потеряет часть заголовка. Или еще что.. Словом, русская рулетка, бессмысленная и беспощадная..   ---------- Вопрос: 'Что человек курит?' как правило возникает не когда ты слышишь, как он дышит, а когда видишь, что он пишет Пропеллер играет роль вентилятора, он останавливается -пилот потеет Аськи нету. Всего записей: 16257 | Зарегистр. 13-02-2003 | Отправлено: 03:14 15-11-2011

Rins BANNED Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: В принципе главная проблема в том, что восстановить заражённый файл, чтобы запускался можно, а вот восстановить до исходного состояния - весьма проблематично Собственно, проблема даже не в этом. Проблема в том, что все современные вирусы помимо собственно заражения файлов гадят везде, где можно - изменяют настройки безопасности браузера, встраиваются в цепочку LSP, добавляют записи в файл hosts, меняют значения параметров в реестре, изменяют пароль Администратора и т.д. и т.п. Так что, даже вылечив файлы, вернуть заражённую систему в исходное состояние будет практически невозможно. Так что самый надёжный антивирус - это Acronis Всего записей: 326 | Зарегистр. 26-12-2001 | Отправлено: 22:17 15-11-2011 | Исправлено: Rins, 21:20 16-11-2011

Arvydas Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Может есть у кого литература на тему самостоятельного лечения? Всего записей: 363 | Зарегистр. 09-12-2003 | Отправлено: 18:45 22-07-2015

Страницы: 1 2

Компьютерный форум Ru.Board » Общие » Флейм » Лечение файлов от компьютерных вирусов

Переход по форумам  Закладки   » Компьютеры Цифровое изображение Программы Microsoft Windows UNIX Другие OS Hardware В помощь сисадмину Прикладное программирование Игры Форумные игры   » Интернет Web-программирование В помощь вебмастеру Графика Хостинг Зацените-ка!   » Тематические Ikonboard v.2 Ikonboard v.3 Invision Board Другие форумы PHP-Nuke и другие порталы Мобила   » Общие Спорт Флейм Темы по региональным встречам Музыка и Кино Юмор Литература и Живопись   » Ru.Board Новости Помощь по форуму   » Андеграунд eBookz Варезник Раздачи и акции Мобильный варезник Андеграунд Игры и фильмы   » Специальные Тестирование