[ot]ShuraBozz, la finisci con questi post inutili?[/ot]
putroppo onguno posta quello che meglio riesce
tornando alla domanda di Brolyssj, del tutto lecita e posta in modo civile (che ultimamente è un lusso):
un topic approfondito potrebbe diventare abbastanza lungo, prima di tutto occorre classificare i virus per tipologia
worm, trojan, virus, macro ecc
questa classificazione è solitamente fatta in base alle azioni che fanno:
un worms di solito sono virus non dannosi ma che si riproducono
un trojan è il tipico virus non si duplicano ma fanno danni
virus come i trojan ma con la variante di rendersi il piu' possibile invisibile
macro solitamente virus creati con linguaggi di script
ecc... ecc...
ovviamente ci sono tutte le combinazioni del caso: nessuno vieta che esista un virus che oltre ad avere caratteristiche trojan si moltiplichi.
ok premesso questo parliamo di alcuni modi di infezione:
un virus puo' essere un unico file, pertanto non aver infettato nessun file ma essere proprio il file stesso il virus (caso raro)
i virus per infettare usano solitamente queste tecniche:
-append
-pre-append
-replace
-cavity
-inject
-companion
Append:
il virus copia s'è stesso dopo un file eseguibile, gli header del file infetto viene modificato in modo che all'avvio prima venga eseguito il virus e poi il virus rimandera' l'esecuzione al punto originale
Pre-Append:
come prima con la sola differenza che il virus si inserisce prima del file
Replace:
il virus mastica il file e lo sostituisce con s'è stesso (tecnica vecchissima non piu' in uso in quanto troppo facilmente rintracciabile)
Tutte queste tecniche hanno l'inconveniente che il file originale aumenta o diminuisce di dimensione, e questo detta sospetti
Cavity:
il virus si autoscrive in alcuni spazi vuori di un eseguibile (naturalmente se ci sono) e modifica gli header. In questo modo la dimensione del file non cambia.
Inject:
il codice fisico non risiede in un file infetto ma viene iniettato in un processo in memoria
Companion:
sono i virus che fanno compagnia ai file, sfruttano debolezze di sistema per eseguirsi al posto di altri file per poi lanciare quello vero. Un esempio:
se tu in una cartella hai pippo.exe (file tuo) e il virus mette un pippo.com
se lanci solo "pippo" da una shell dos, il sistema operativo dara' priorità al .com, poi il virus lancera' il .exe per non destare sospetti.
------------
i virus hanno convenienza a non alterare le funzionalità dei file per fare in modo che il sistema continui a funzionare ma "alimentando" le funzioni del virus il piu' a lungo possibile e rendendo piu' difficile scovarli.
Poi per aggiungere un pizzico di OffTopic diciamo che i virus cercano di nascondersi il piu' possibile pertanto usano tecniche di mimetismo dette stealth, usando codice polimorfico e altro ancora.
naturalmente l'argomento è vasto, e per fare virus raffinati occorre avere una conoscenza del formato pe e delle tecniche di antidetect (e antidebug) notevole. altrimenti escono i "soliti prodotti"
ciau
Predator