Размышления на тему "удаление вируса"

[Doooh]

Попрошу модераторов не умничать и не переносить в "Разное". Потому как интересует мнение и мысли именно людей-программистов и имеющих дело с подобными вещами.

Эта тема - модифицирующаяся задача. Я буду представлять собой программу-вирус в некой операционной системе. Вы предлагаете действия, которые следует произвести, чтобы удалить меня из системы с наименьшим уроном для неё.
Потом я вам скажу, что это за вирус и что имелась в виду за операционная система.
Наверное ещё буду писать реакцию операционной системы.
Немного обо мне.
Я появился в системе в процессе общения с другими компьютерами. Неизвестно достоверно, с одним или многими. Я фильтрую весь ввод и вывод. Работаю скрыто от системы и скрываю своё присутствие.

Господа, предлагайте ваши действия, пишите, что вы делаете.

[ΛLIEN]

Я знаю, как этот вирус назывется Windows XP.

Что бы все скрывать, ты должен заполучить управление на уровне ядра. Сначала объясни, каким макаром, ты это сделал. =)

[Doooh]

Был установлен системой как обновление системы безопасности. Запущен в фоновом режиме.


Спрашивайте, уточняйте. Вроде верно меня поняли. Продолжаем.
Называется не ВиндовсИксПи, куда благозвучнее

[ΛLIEN]

Если ты заполучил управление на уровне ядра, то системным файлам уже хана. Ты можешь их модифицировать, поэтом считай, что операционной системе хана так же. Остались данные.
Что нужно сделать, чтобы не дать тебя запустить? Не дать запуститься зараженной операционной системе. Следовательно, цепляем раздел с другой системы (не зараженной), спасаем данные, которые не могут быть заражены. Ну а дальше и так понятно. =)

Можно попытаться восстановить системные файлы их оригиналами, но это долго и нудно... но возможно. =)

[TSV NV]

Нет этот вирус называется Дууух.

Если ты и попадёшь в так называемое ядро винды, то тебя сразу сольют, т.к. эти файлы под наблюдением всегда.
Контролировать ввод-вывод да ещё и весь это бред, тогда твоё "тело" будет таких размеров, что можно будет тапком пришлёпнуть.
И естественно скрыть такое присутствие будет невозможно.

Единственное что можешь сделать, так сделать это оригинальным путём о существовании которого никто не знал до сих пор и то не на долго.

Вирус должен быть компактен и мобилен, при этом возможно только узконаправленые вирусы, а не контроль над всем и вся. А то что ты описал это действительно вынь хр и виста, которые следят за всем и пытаются "стучать" об этом куда надо.

[Doooh]

Цитата:

Сообщение от ALIEN

системным файлам уже хана

Нет, они на месте и выполняют свои функции.

Цитата:

Ты можешь их модифицировать, поэтом считай, что операционной системе хана так же.

Возможно, но по факту система работает, словно ничего не произошло. Правда, временами подвисает слегка.

Цитата:

Остались данные.

А вот они-то как раз страдают больше всего! Постепенно искажаясь. В них ищется и удаляется или редактируется любое упоминание о вирусе. Если контрольная сумма не нарушается, то данные о вирусе уничтожаются. Если нарушается, то редактируются так, что вирус был не вирусом, а заплаткой, загрженной с официального сайта обновлений.

Цитата:

Что нужно сделать, чтобы не дать тебя запустить?

Поздняк, уже запущен. Но ... можно было объявить все заплатки как вредоносные, можно запретить любое общение системы со внешним миром.

Цитата:

Не дать запуститься зараженной операционной системе.

Есть проблема: система запускается единожды и останавливается навсегда.

Цитата:

Следовательно, цепляем раздел с другой системы (не зараженной)

Вот это уже пошли дельные советы

Цитата:

Можно попытаться восстановить системные файлы их оригиналами, но это долго и нудно

Оригиналов больше нету. Система написана буквально на коленках, резервной копии не существует. На других компах есть похожие системы. Файлы с них нельзя просто скопировать - общая контрольная сумма всех файлов не совпадёт.

Раскручиваем идею с подключением к незаражённой системе. Невозможно переставить винчестер - машина неразборная. Есть ещё проблемка: нет традиционных устройств ввода клавиатуры и мыши. Есть сетевой интерфейс. Есть двусторонний звуковой канал. Т.е. сделать с системой можно что-то наверное только представившись полезным обновлением. Или ещё как придумаете ...

Теперь 2TSV NV:
Вирусы, которые ловят ввод клавиатуры, мыши есть, сетевых фильтров на уровне IP пакетов тоже достаточно. Дальше, подменять буфер клавиатуры не сложно, фильтровать исходящие пакеты тоже можно. Редактировать видеопамять - пожалуйста. Где сложности-то? Моя проблема представляется в том, что вся эта хрень в одной упаковке. И имея имя, допустим, love.exe скрывает процесс с таким именем.

Дополнение
Процесс-вирус открывает полный доступ к системе при подключении к заразившему компьютеру, который определяет по неизвестному признаку (сертификаты доверия?). По этому же признаку полностью запрещает обмен данными с некоторыми другими компьютерами, возможно, тоже заражёнными подобным вирусом.
Пока всё.

[ΛLIEN]

Дух, ты слишком идеализируешь. Это все хорошо для теории, но не практики... У тебя вирус все может, запускаясь как love.exe? Так его быстренько похерили. А помешать этому может только кривые руки пользователя. =)
Ядро это не отдельный процесс, это много различных процессов, которые, в том числе, могут контролировать друг-друга и если что кричать караул. Тебе придется позаражать все.
В твоем случае вирус должен быть уже частью системы. А если он ее часть, то спасать систему уже нет смысла.
Как я уже писал, спасаем данные в сматываем удочки. ОС уже не жилец (тем более исходников нет).

[TSV NV]

Вот твоя хрень в одной упаковке сразу сама себя и сдаст.
У любой операционки написаной на коленке есть исходники которые никогда сети не нюхали.
Кому ты будешь какие сертификаты посылать получать ? Любой фаервол сразу это просекёт, а если фаер вдруг случайно сдох, то это 1й сигнал что есть вирь.
Для лечения очень помогает иметь лайв образ операционки на сд, там файлы не изменишь и уже с него ковырять твою "хитрость", данные под подозрение которые необходимо сохранить загоняются в парольный архив и копируются как резервная копия и уже потом этих файлы ковыряются на предмет выкуривания лишних жильцов.
В общем действий много, долго всё описывать.

[Strateg]

Цитата:

Эта тема - модифицирующаяся задача. Я буду представлять собой программу-вирус в некой операционной системе. Вы предлагаете действия, которые следует произвести, чтобы удалить меня из системы с наименьшим уроном для неё.
Потом я вам скажу, что это за вирус и что имелась в виду за операционная система.
Наверное ещё буду писать реакцию операционной системы.
Немного обо мне.
Я появился в системе в процессе общения с другими компьютерами. Неизвестно достоверно, с одним или многими. Я фильтрую весь ввод и вывод. Работаю скрыто от системы и скрываю своё присутствие.

Кароче, не буду писать вышим языком, но скажу так:

Возможна Дух предоставил вам некую загаду и предсравил как вирус, который вы приняли как подобает вам(програмистам)
А теперь я сказу как это расшифрует "обычный" человек:

Вирус - Любовь. Операционная система - человек "Дух".

Цитата:

Я появился в системе в процессе общения с другими компьютерами.

Это и так понятно, обшение с девушкой (другой компьютер)

Цитата:

Я фильтрую весь ввод и вывод.

Когда человек влюблён, то любовь движет им.

Цитата:

Работаю скрыто от системы и скрываю своё присутствие.

Иногда человек сразу не замечает, что он вльюблён. Это приходит позже.

Цитата:

Вы предлагаете действия, которые следует произвести, чтобы удалить меня из системы с наименьшим уроном для неё.

Тебя не надо удалять. А если попытаешься - это может привести к серьёзным нарушениям работы системы.

Цитата:

И имея имя, допустим, love.exe скрывает процесс с таким именем.

Эта фраза сразу помогла разобраться

(ИМХО)

[Kostyan]

Во Doooh даёт...