Антивирусная защита программы

← →
lipskiy © (2002-03-04 15:48) [0]

Известно, что при заражении программы определенными типами вирусов, они внедряются в код ехешника, используя дыры. Насколько справедливо мнение о том, что Дельфовый компилятор настолько хорош, что практически не оставляет дыр в ехешнике? И насколько реально, ну не защититься, но хотя бы предупредить юзера о том, что вирус только что запустился, если при создании программы после компиляции посчитать контрольную сумму и приписать в конец ехешника, а внутри самого ехешника в самом начале его работы делать сверку контрольной суммы (я такую фигню сделал, работает, но насколько это полезно - не знаю).

← →
Digitman © (2002-03-04 16:19) [1]

>>"Насколько справедливо мнение о том, что Дельфовый компилятор настолько хорош, что практически не оставляет дыр в ехешнике?"

Совершенно несправедливо. Компилятор Делфи ни о каких "дырах" ничего знать не знает : его задача (как и задача любого другого компилятора) - транслировать исх.текст в объектный код. Эстафету у компилятора принимает линкер, задача которого - разрешение внешних межмодульных ссылок и сборка результ. файла в формате PE, a не "затычка дыр".

Польза от внедрения в исп.файл механизма подготовки и проверки в run-time некоей контр.суммы настолько же велика, насколько мала вероятность, что тело вируса не получит управление в какой-то момент времени выполнения процесса, загруженного из зараженного исп.модуля

← →
lipskiy © (2002-03-04 18:43) [2]

> насколько мала вероятность, что тело вируса не получит управление
> в какой-то момент времени выполнения процесса

Так я и говорю о том, чтобы хотя бы предупредить юзера о том, что ехешник был изменен, а значит есть вероятность заражения. Естественно, самому из себя не выдрать, но контрольная сумма измениться при внедрении вируса, значит, можно поднимать тревогу. Или я не прав?

← →
Anatoly Podgoretsky © (2002-03-04 21:58) [3]

Конечно неправ, кроме вирусов есть еще такие программы, как антивирусы и некоторые их зловредные тоже меняют программу. Называют они это защитой, а по мне так это троян.

На счёт дыр - они озникают из-за выравнивания кода. например, MS VC5 не знает о win98, ME которые пытаются "правильно" расположить файл надиске так, что бы он грузился быстрее, и он [vc5] делает код меньше, чем MSVC6, у которого 4х килобайтное выравнивени. Достаточно убить эту опцию, и размера файла уменьшается весьма знчительно, но тогда будут проблемы с win9x

А вообще. поищи на MSJ (MS System Jounal) статью о формате PE - а, вот ссылка - http://msdn.microsoft.com/msdnmag/issues/02/02/PE/PE.asp , посмотри, может что найдёшь умного, ведь это не единственная технология распространения вирусов

← →
Ziggi (2002-03-29 07:57) [5]

2Anatoly Podforetsky
Такие "антивирусы" называются вакцинаторы и последний вакцинатор я лично встречал в 96 году

Антивирусная защита программы Найти похожие ветки