Размышления на тему "удаление вируса"

[Doooh]

Цитата:

Сообщение от ALIEN

системным файлам уже хана

Нет, они на месте и выполняют свои функции.

Цитата:

Ты можешь их модифицировать, поэтом считай, что операционной системе хана так же.

Возможно, но по факту система работает, словно ничего не произошло. Правда, временами подвисает слегка.

Цитата:

Остались данные.

А вот они-то как раз страдают больше всего! Постепенно искажаясь. В них ищется и удаляется или редактируется любое упоминание о вирусе. Если контрольная сумма не нарушается, то данные о вирусе уничтожаются. Если нарушается, то редактируются так, что вирус был не вирусом, а заплаткой, загрженной с официального сайта обновлений.

Цитата:

Что нужно сделать, чтобы не дать тебя запустить?

Поздняк, уже запущен. Но ... можно было объявить все заплатки как вредоносные, можно запретить любое общение системы со внешним миром.

Цитата:

Не дать запуститься зараженной операционной системе.

Есть проблема: система запускается единожды и останавливается навсегда.

Цитата:

Следовательно, цепляем раздел с другой системы (не зараженной)

Вот это уже пошли дельные советы

Цитата:

Можно попытаться восстановить системные файлы их оригиналами, но это долго и нудно

Оригиналов больше нету. Система написана буквально на коленках, резервной копии не существует. На других компах есть похожие системы. Файлы с них нельзя просто скопировать - общая контрольная сумма всех файлов не совпадёт.

Раскручиваем идею с подключением к незаражённой системе. Невозможно переставить винчестер - машина неразборная. Есть ещё проблемка: нет традиционных устройств ввода клавиатуры и мыши. Есть сетевой интерфейс. Есть двусторонний звуковой канал. Т.е. сделать с системой можно что-то наверное только представившись полезным обновлением. Или ещё как придумаете ...

Теперь 2TSV NV:
Вирусы, которые ловят ввод клавиатуры, мыши есть, сетевых фильтров на уровне IP пакетов тоже достаточно. Дальше, подменять буфер клавиатуры не сложно, фильтровать исходящие пакеты тоже можно. Редактировать видеопамять - пожалуйста. Где сложности-то? Моя проблема представляется в том, что вся эта хрень в одной упаковке. И имея имя, допустим, love.exe скрывает процесс с таким именем.

Дополнение
Процесс-вирус открывает полный доступ к системе при подключении к заразившему компьютеру, который определяет по неизвестному признаку (сертификаты доверия?). По этому же признаку полностью запрещает обмен данными с некоторыми другими компьютерами, возможно, тоже заражёнными подобным вирусом.
Пока всё.

[ΛLIEN]

Дух, ты слишком идеализируешь. Это все хорошо для теории, но не практики... У тебя вирус все может, запускаясь как love.exe? Так его быстренько похерили. А помешать этому может только кривые руки пользователя. =)
Ядро это не отдельный процесс, это много различных процессов, которые, в том числе, могут контролировать друг-друга и если что кричать караул. Тебе придется позаражать все.
В твоем случае вирус должен быть уже частью системы. А если он ее часть, то спасать систему уже нет смысла.
Как я уже писал, спасаем данные в сматываем удочки. ОС уже не жилец (тем более исходников нет).

[Doooh]

Цитата:

Сообщение от ALIEN

Дух, ты слишком идеализируешь. Это все хорошо для теории, но не практики...

К сожалению, ситуация из практики. Мало того, актуальная. Это не выдумка. Я просто говорю, что происходит если делать предложенное, потому как проверял. Приоткрую завесу лишь тем, что компьютер как бы не совсем компьютер. Остального знать вам не надо.

Цитата:

У тебя вирус все может, запускаясь как love.exe?

Нет, далеко не всё. Он оберегает систему от разрушения.

Цитата:

Тебе придется позаражать все.

Похоже, что именно так и получилось.

Цитата:

В твоем случае вирус должен быть уже частью системы.

Так и есть. Неотъемлемая часть. Иногда этот процесс завершается, когда долго нету связи с заразившим компьютером. Тогда система некоторое время ведёт себя как вполне здоровая, но через некоторое время начинает тормозить, рвать коннекты с другими компьютерами и пытаться подключиться к заразившему компу. После подключения система вновь выглядит здоровой, но работает своеобразно, как и раньше.

Цитата:

спасать систему уже нет смысла.

Всегда успееется повесить руки.

Цитата:

спасаем данные

Без системы данные бесполезны и кроме как через систему их никак не достать. Я ж говорю, неразборное.

Цитата:

ОС уже не жилец

Да не, вполне жилец. Только работает с непонятными сбоями. Напоминаю, что если наблюдать за системой по прошествии некоторого времени после коннекта с заразившим компом, но до следующего коннекта, то система выглядит как абсолютно здоровая. Работает без странностей, а данные выглядят как исходные, неискажённые. Похоже на то, что сами данные как раз никогда и не искажались. Просто они временами считываются криво.

2TSV NV: Ну лажанулись, не сделали резервных копий. А может и в целях секретности сразу запустили на рабочей машине. А может, резервная копия 25-тилетней давности и возвращаться на неё всё равно, что делать всё заново.

Уважаемый Strateg, не стоит сбивать уважаемых программистов с хорошего хода решения задачи Скажу лишь, что к сожалению ОС не я, иначе было бы куда проще описывать процессы.

[ΛLIEN]

Цитата:

Сообщение от Doooh

ОС не я, иначе было бы куда проще описывать процессы.

Doooh не ОС. Он просто разместил объяву. =)

[Doooh]

Харе колоться, государственное дело

[FeD]

Дух, неужели ты только что зачавшаяся новая жизнь?

[Doooh]

Можно так сказать. А что, заметны резкие изменения?

[TSV NV]

Вот твоя хрень в одной упаковке сразу сама себя и сдаст.
У любой операционки написаной на коленке есть исходники которые никогда сети не нюхали.
Кому ты будешь какие сертификаты посылать получать ? Любой фаервол сразу это просекёт, а если фаер вдруг случайно сдох, то это 1й сигнал что есть вирь.
Для лечения очень помогает иметь лайв образ операционки на сд, там файлы не изменишь и уже с него ковырять твою "хитрость", данные под подозрение которые необходимо сохранить загоняются в парольный архив и копируются как резервная копия и уже потом этих файлы ковыряются на предмет выкуривания лишних жильцов.
В общем действий много, долго всё описывать.