Как заражаются файлы и почему только exe?

Question

[Ingernirated]

Подскажите, как заражаюстя файлы и почему именно exe?
Как в таком файле определить, что он заражен не используя антивирусы?
Может какой язык программирования и подход в этом деле поможет лучше понять суть вирусов?

Comments

[Толстый Лорри]

почему именно exe?

Потому что их можно запустить на исполнение. Но не только их, но и динамические библиотеки (dll/so), файлы скриптов, ярлыки, документы офисных пакетов (которые умеют исполнять макросы) и прочие вещи. Причем, запуск происходит с правами доступа того пользователя, который их вызывает. Это как попытка подкинуть плотнику молоток с кривой ручкой, чтобы тот ударил себя по пальцу вместо заготовки.

Так можно просто послать письмо с вредоносной программой (которая ничего больше не умеет, кроме как делать свои черные дела) в надежде, что недалекий юзер ее запустит или даже "пропатчить" какую-нибудь программу пользователя, чтобы та помимо ожидаемых вещей делала какие-нибудь сюрпризы.

[Ingernirated]

John Smith: в википедии всё обобщенно и не уточнено, хочу книжку на эту тему почитать для общего развития, а какую, не знаю, вот и интересуюсь

[Plinio]

Определить, заражён файл или нет можно без антивируса. Используйте HashChech Shell Extension! С ним просто создавать контрольные суммы всех исполняемых файлов типа EXE, DLL, SYS, OCX, BAT, PIF, SCR, CPL, COM и CMD. Если хотя бы один будет изменён, то контрольная сумма для файла мигом станет другой.

Answer 1

[Андрей]

Assembler

прочтение теории инфицирования лучше всего начинать с COM-файлов, хотя они и устарели

Comments

[Adamos]

Вообще-то технологии заражения в целом устарели.
Нынешние exe-вири просто подменяют жертву, перенося ее тело в другой файл, который вызывают, отработав сами.

[Ingernirated]

Adamos: а exe файл можно как-то открыть и прочесть его код?

[Adamos]

Ingernirated: Да, конечно. Компьютер же это делает.
Вы можете прочесть код любым hex-редактором.
Если, конечно, чтение машинных кодов кажется вам чем-то осмысленным.

[Dark Hole]

Ingernirated: а еще лучше дизассмблировать

[Adamos]

Dark Hole: вы правда в это верите?
Что ТС, при таком-то уровне вопросов, хоть что-нибудь слышал о языке ассемблера?

[Ingernirated]

Dark Hole: если программа написана на С, мы её можем дизассемблировать?

[Dark Hole]

Ingernirated: машинный код всегда можно выразить ассемблером. Это очевидно

[Dark Hole]

Adamos: во что верим?

Answer 2

[Дмитрий]

Никак не определить.
Код вируса отличается от легитимного кода только намерением того, кто его применяет. Ничем больше.

С таким же успехом можно спросить:
— Как отличить нож, которым кого-то зарежут, от обычного кухонного ножа?
— Если вы не умеете читать мысли тех, кто берёт этот нож в руки, то никак.

Можно просто отправить почту, написав код. А можно, используя этот же код, отправить данные банковской карты на почту хаццкиру Василию. Код будет одинаков, вы его никак не отличите от обычного полезного кода.
Здесь нужно анализировать миллионы других косвенных факторов, которые могут подсказать, что есть вероятность, что в почту пошли не те данные, которые должны.

Comments

[Ingernirated]

Разве в нём не должны быть заложены функции, которые не свойственны обычному запуску программы, а ещё дополнительно отправке данных?
Ведь можно без браузера и захода в почту так что-то отправить к кому-то на ящик?

[Adamos]

Ingernirated: под окошками каждая вторая программа при запуске лезет к автору на сайт проверить, не было ли обновления. Отличить это от вредоносной активности довольно проблематично.

[Ingernirated]

Adamos: а как можно exe файл изменить?
как увидеть его код и отредактировать?

[Adamos]

Ingernirated: молодой человек, прочитайте уже какой-нибудь нормальный учебник по информатике или хотя бы главу про язык ассемблера в Википедии. Не позорьтесь такими - столь же наивными, сколь и бессмысленными - вопросами.

Answer 3

[dmfun]

Вирус- это кусок кода. У каждой программы есть точка входа. ОС загружает программу и передает управление программе.
Вирус встраивается в эту точку входа, меняет её, записывается в конец, при вызове происходит переход не в тело программы, а в вирус, которое делает свои дела и обратно передает управление программе.

Если exe модуль подписан и посчитана контрольная сумма, то наличие вируса маловероятно.
В другие форматы не понятно куда себя писать вирусу, возможны и варианты с DOC, XLS, там различные макросы активирующиеся на запуск, открытие и другие события, через которые получает управление вирус.

Наличие вируса определяют по характерным для вируса действиям (точно не скажу каким), командам, вызовам процедур. На вирус можно провиться на сайтах специальных типа вирустотала.

Суть вируса проста - клонировать себя, встроить в тело другого exe модуля, сделать свои дела и всё...

Comments

[Adamos]

И все... это актуально только для прошлого века. Где вы сейчас видели такие вирусы?

[Ingernirated]

Куда стоит капнуть(язык), чтобы больше понять суть вирусов и защиты от них?

[Adamos]

Ingernirated: капнуть - не знаю. Да и зачем?
Копнуть можно ассемблер, но это гораздо скучнее, чем вам кажется.

[dmfun]

Ingernirated: Вирус для exe пишут чаще на тех же языках, что и драйвера. С и ASM.
Или же на скриптовых языках, которые запускаются при входе на говносайты и запуске почты.
Знание только языка не поможет.Тут нужно знать их механизмы распространения, способы укрытия от антивирусов и прочее. Если знаешь как они запускаются и внедряются, то сможешь закрыть дыры - браузер, почтовые клиенты итд.

Answer 4

[Василий Назаров]

Далеко не только exe.
Вордовые/эксельные файлы, PDF, JPEG

Comments

[Ingernirated]

как вирусы в картинки или pdf встраиваются, и как их вообще можно увидеть?

[Василий Назаров]

Пока ничего другого, кроме как сигнатуры и эвристики, не придумали.
Сигнатура - фрагмент или набор фрагментов кода вируса.
Евристика - это когда программа может определить, что вот этот кусок файла похож на вирус, даже не имея точной сигнатуры.
Подробностей объяснить не могу, ибо не моя специальность, и вообще, задача "определить, нет ли в файле вируса", очень наукоёмкая, в антивирусных компаниях не зря лучшие умы трудятся..

[Adamos]

Чтобы они именно заражались - не помню такого. Что можно специально сформировать "заряженный", использующий кривизну просмотровщика - это да. Но это, собственно, даже не вирусы, если следовать классическому определению.