Форум программистов «Весельчак У»
  *
Добро пожаловать, Гость. Пожалуйста, войдите или зарегистрируйтесь.
Вам не пришло письмо с кодом активации?

  • Рекомендуем проверить настройки временной зоны в вашем профиле (страница "Внешний вид форума", пункт "Часовой пояс:").
  • У нас больше нет рассылок. Если вам приходят письма от наших бывших рассылок mail.ru и subscribe.ru, то знайте, что это не мы рассылаем.
   Начало  
Наши сайты
Помощь Поиск Календарь Почта Войти Регистрация  
Страниц: 1 2 3 4 [5] 6 7 8 ... 10
 41 
 : 22-12-2023 19:49 
Автор Вольфрам - Последний ответ от Вольфрам
обнаруживает и удаляет, а пользователю остается только вернуть файл из бекапа или дистрибутива и снова его проверить.
Файл уже был скачан с вирусом и мой антивирус его просто в карантин помещает и всё. Из возможностей, только разрешить на компьютере, или удалить. Лечить он не умеет. Сам файл обычный EXE-шник. Из Вами сказанного вычленяю два варианта:
1. Антивирус, который умеет лечить.
Не очень верю, но согласен попробовать те антивирусы, которые умеют лечить такие файлы, а не просто закрывать их в карантине. Есть у Вас такие на примете?
2. Реверсинг, дизассемблирование, с последующим лечением ручками.
Второй вариант более интересен. Какие посоветуете ресурсы по данной теме? И какие программные инструменты тут уместны?

P/S:
Спасибо за развёрнутый ответ. Стало немного виднее, чего ждать от данного пути.

 42 
 : 22-12-2023 10:32 
Автор Вольфрам - Последний ответ от RXL
Задача гарантированно решается только заменой зараженного файла на оригинальный. Что антивирус, частично, и делает: обнаруживает и удаляет, а пользователю остается только вернуть файл из бекапа или дистрибутива и снова его проверить. Если нет ни бекапа, ни исходного файла в дистрибутиве, то задача не имеет гарантии, т.к. нужно знать, как зараженный файл используется операционкой и как вирус активируется. В простейшем случае, это exe или dll, просто доп. блок с кодом в конце файла и перехват каких-то точек исполнения в оригинальном коде (измененные несколько байт в основном коде). В сложном случае — что угодно, задача не решаемая. Кроме нативных исполняемых exe/dll могут быть еще компилируемые форматы (напр. для .net), скрипты (программы в исходном коде, например js), косвенные воздействия (определенная порча данных, обрабатывая которые, программа поведет себя нужным для злоумышленника образом).
Восстановление простейшего случая сводится у убиранию лишнего кода и восстановлению кода в точке перехвата. Вот тут и нужны знания ассемблера и куча времени, чтобы понять, что же было в старом коде. Эти байты могли как быть скопированы в блок вируса, так и затерты безвозвратно.
Вывод: шансов на восстановление мало, трудозатраты огромны, проще восстановить из бекапа или дистрибутива. Возвращаемся к исходной позиции: антивирус — решение проблемы.

И не задачу я назвал обывательской, а подход без нужных знаний и опыта. Потому что их надо много.

 43 
 : 22-12-2023 10:26 
Автор Вольфрам - Последний ответ от Люсь
Щас бы ещё на админов наезжать  Отлично Отлично
А ведь он дело говорит ))

Как по мне, лучше уж приобщаться к изучению нейросетей, она быстрее обучится машинному коду и найдёт изъяны, чем новичок без навыков программирования ассемблер изучит )

 44 
 : 22-12-2023 08:57 
Автор Вольфрам - Последний ответ от Вольфрам
Альтернативный вариант подразумевает глубокие специфические знания и его не имеет смысл обсуждать на обывательском уровне.
Именно этого (Альтернативный вариант...) я и ищу. И мне бы очень помогло, если бы кто то опытный в таких вопросах набросал мне примерный алгоритм решения подобной задачи, с парой ссылок на ресурсы и с названием программ, которые понадобятся в качестве инструмента, для вскрытия и копания двоичного кода файла.
P/S:
Никак не ожидал, что администратор данного форума считает такую исследовательскую задачу обывательской. 

 45 
 : 22-12-2023 08:49 
Автор Вольфрам - Последний ответ от Вольфрам
Антивирус нужен и ничего более.
Антивирус просто ставит всю программу в карантин или удаляет. То есть задача не решается, а снимается с повестки. Меня это не устраивает. Я хочу спасти файл, с сохранением работоспособности.

 46 
 : 21-12-2023 23:18 
Автор Вольфрам - Последний ответ от RXL
Антивирус нужен и ничего более.
Альтернативный вариант подразумевает глубокие специфические знания и его не имеет смысл обсуждать на обывательском уровне.

 47 
 : 21-12-2023 21:21 
Автор Вольфрам - Последний ответ от Вольфрам
Здравствуйте! Давно меня мучает вопрос, можно ли убрать посторонний код из исполняемого файла, с сохранением работоспособности самого файла? Я помню, как на каком то форуме разбирали файл на низком уровне, находили в нём "лишнее" и обезвреживали. После этих манипуляций программа работала. К сожалению этот форум я не нахожу больше. Закладки не сохранились. но раз речь там шла о низкоуровневом разборе кода, я подумал, что будет уместно задать этот вопрос здесь.
Итак: Как найти (допустим тело вируса) в исполняемом файле? Как его обезвредить с сохранением работоспособности самого файла? Какие способы и инструменты для этого нужны?

 48 
 : 15-12-2023 12:33 
Автор Boriska - Последний ответ от Boriska
спсб

 49 
 : 15-12-2023 11:43 
Автор Boriska - Последний ответ от Алексей++
Boriska, это фича языка Си - designator-initialization https://en.cppreference.com/w/c/language/initialization

 50 
 : 15-12-2023 11:23 
Автор Boriska - Последний ответ от Boriska
вообще это какая то недокументированная фича или ...?

Страниц: 1 2 3 4 [5] 6 7 8 ... 10
Powered by SMF 1.1.21 | SMF © 2015, Simple Machines