Легенда:
новое сообщение
закрытая нитка
новое сообщение
в закрытой нитке
старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
Хотите свой антивирус написать? 27.08.03 15:30 Число просмотров: 1680
Автор: Kerk Статус: Незарегистрированный пользователь
|
> Ну уж точно не поиск подстроки в файле. Вируса обычно > садятся в начале исполняемного кода, а позиционно - в конец > файла дописываются при размножении. Так что если "точка > входа" в конец файла смотрит - это должно насторожить. > Далее код анализируется начиная с точки входа. > > Советую изучить структуру екзешника (СОМ-файла для ДОСа). > Попробовать написать свой вирус сначала. Попробовать отойти > от правил (записаться при размножении в середину файла, > размножиться в процессе/середине выполнения основной > программы). > Книжка/брошюра была такая "полезная" Касперского "Пишем > вирус и ... антивирус".
Насчет книжки/брошюры: ее кажется Хижняк написал и так давно, что сейчас она не актуальна... ;)))
Насчет эвристиков:
Касперский очень не любит, когда точка входа PE-файла расположена в последней секции.... а Dr.Web ругается, если у тебя в вире есть инструкции стравнивающие что-либо со словами (word) "PE" или "MZ"... на что реагирует Norton Antivirus выяснить так и не удалось (его эвристик так ни на что и не сработал)...
Это были мои личные наблюдения...
|
|
|