[elektro-etc] malware

[gyapo]

Acs, you wrote:
AG> Ha jól értem, ez azt jelenti, hogy a vírus az egy olyan programkód, ami
AG> más file-okat megváltoztat, és így költözik bele, a malware pedig már 
AG> gyárilag egy 'hivatalos' és egy rejtett funkcióval rendelkező program,
AG> aminek a rejtett funkciója káros. És azt mondod, egy fertőzött file-ból
AG> ki lehet ütni a víruskódot (vírusirtás), de a malware rejtett funkcióját
AG> nem?

Nem nekem szólt ugyan a kérdés, de szerintem sokféle megoldás van.
A vírus terjed, fertőz, másolja magát, a malware inkább csak 
rosszindulatú kód, ami beleegyezés nélkül titokban települ, és nem 
legális tevékenységet fejt ki.
Ha ismerem egy vírus/malware módszerét, hogyan települ a rendszerbe, 
hogyan épül be futtatható kódba, akkor jó esélyem van átírni pár 
byte-ot, ami működésképtelenné teszi, de az eredeti kód futhat tovább. 
Pl. visszaírom az átírt vektorokat, és így soha nem kerül rá a 
vezérlés a káros kódra, vagy átírhatom a teljes kódot 0-ákkal, ha 
pontosan meghatározható a helye a file-ban.
Ha kódolja magát, akkor esetleg nehezebb, de ha új file-ba költözik, 
az törölhető, ha az oprendszer valamelyik file-jába, akkor meg ismerve 
annak a file-nak az eredeti állapotát észlelhető a változás és 
korrigálható. Azért nem tud mindent javítani, mert nincs meg neki az 
eredeti file, és ha sok a változás, átgyúrta a vírus, akkor nincs 
honnan elővenni az eredetit és visszaírni.

Üdv.: gyapo