Легенда:
 новое сообщение
 закрытая нитка
 новое сообщение
 в закрытой нитке
 старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
Хотите свой антивирус написать? 27.08.03 15:30 Число просмотров: 1680
Автор: Kerk Статус: Незарегистрированный пользователь
|
> Ну уж точно не поиск подстроки в файле. Вируса обычно
> садятся в начале исполняемного кода, а позиционно - в конец
> файла дописываются при размножении. Так что если "точка
> входа" в конец файла смотрит - это должно насторожить.
> Далее код анализируется начиная с точки входа.
>
> Советую изучить структуру екзешника (СОМ-файла для ДОСа).
> Попробовать написать свой вирус сначала. Попробовать отойти
> от правил (записаться при размножении в середину файла,
> размножиться в процессе/середине выполнения основной
> программы).
> Книжка/брошюра была такая "полезная" Касперского "Пишем
> вирус и ... антивирус".
Насчет книжки/брошюры: ее кажется Хижняк написал и так давно, что сейчас она не актуальна... ;)))
Насчет эвристиков:
Касперский очень не любит, когда точка входа PE-файла расположена в последней секции.... а Dr.Web ругается, если у тебя в вире есть инструкции стравнивающие что-либо со словами (word) "PE" или "MZ"... на что реагирует Norton Antivirus выяснить так и не удалось (его эвристик так ни на что и не сработал)...
Это были мои личные наблюдения...
|
|
|
подробно о проекте
Анализ криптографических сетевых...
