верно говорил Маркс - незнание = сила. а Ленин подытоживал знание=сила!
есть один метод если у тебя стоит нечто что ты не можешь грохнуть и что хорошо засело в систему.
обозвать белое черным а черное белым. поменять шило на мыло. или отшыломылить.
как?
1 грохаем процесс,если удается. не удается - идем дальше
2 каталог в дисковом редакторе превратить в файл а файл - в каталог.
не удается - делаем это любым способом. можно попробовать грохнуть и быренько создать. БАТничек написать для этого чтоб вирус не успел. латентность у всего есть даже у процессов. можно попробовать успеть в таймаут попасть.
3 если не удалось грохнуть и создать - дискедитором меняем шило на мыло и
потом проверить диск на ошибки чтоб выловить все что вылезет наружу.
и непременно повесить все аттрибуты и оторвать все разрешения.
что есть каталог? файл который файловая система рассматривает как каталог. аттрибут на ем есть - каталог. и содержимое этого файла - по сути не отличается от содержимого ROOT-каталога который нельзя превратить в файл поскольку он записан непосредственно на диск. (но хватит теории)
я таким образом вылечил winsmile несколько разновидностей.
да пустой файл и каталог - оба тратят место (файл нулевой длины все равно занимает место на диске - минимум один кластер) и записи в каталогах. но - при этом самая сласть - если у тебя есть открытый порт (который ты не знаешь как перекрыть) по которому червяк размножается - запустится он на твоем компе начинает срать - пытается создать каталог а - облом. пытается записать в файл - облом. больше чем уверен что обработчиком ошибок в вирусах являются банальные RET-заглушки.
попробуйте сами создать файл если у вас есть такой каталог и наоборот каталог если есть файл. создать без удаления.
бинари - обнуляешь в текстовом редакторе. и пусть себе сидят в системе. если смогут. записи в реестре о них есть записи в каталоге о них есть - система с точки зрения "гостя" который непременно придет еще - заражена. значит ее заражать не обязательно.
у нас засилье процедурного программирования. когда начнутся появляться программы не основанные на процедурах - то есть и швец и жнец и на дуде игрец - вот тогда будет худо. а пока у вируса несколько процедур - они как правило не знают что кто делает - борьба с вирусом довольно муторное но несложное занятие.
и от главного - от файловой системы ни один файловый вирус еще не ушел.
вирусы есть файловые есть бутовые. есть такие которые внедряются в бинари готовые. увеличивая размер бинаря на длину своего тела. но это скорее к древностям, новые уже так не припоминаю такого. даже бутовых или MBR вирусов не помню.
файловую систему обойти трудно. файловой системой пользуются все.
проще для вируса сделать запрос к файловой системе, будто он обычный процесс. ибо в противном случае надо будет писать свой обработчик который довольно увесистый. а главное оружие вируса - легковесность. чем меньше тем труднее тебя увидеть. значит - отдать на откуп первый механизм заражения самому компутеру в надежде на главное правило Маркса. что компутер и юзверь - оба тупые как пробка. ну компу и правда на все пофиг. он все что ему скажут исполнит - даже если это будет команда отстрелить себе яйца. а с юзверем не всегда такой финт прокатывает. может и возбухнуть. но чаще прокатывает - глянет в SYS каталог нифига там не поймет и закроет его к ебеням - вдруг че сломает.
вопчим скажу так - заразиться любой может. но если ты наблюдателен то ты обойдешься и без супер-дупер-пупер антивируса.
я от лени на ХРюшке сидел как то год. AVIRA изговнякалась (до 7 версии включительно была лапочка). перестала уметь лечить файлы - только стала предлагать удалить. сидел без авиры и ваще без всего. ниче - глядел по сторонам и своевременно менял шило на мыло. этого большинству вирусов хватало за глаза чтоб перестать фунциклировать. ну попробует он записать мои пароли себе в блокнотик а блокнотика-то нету. и не создается. а его не учили самостоятельно своему боссу чтото пересылать - это умеет другой компонент вируса.
вопчим сидят ядра вирусов в системе - и хрен с ними. мне не мешают.
разозолишься бывало отловишь то с чего начинается - в лив сиди забутишься отшиломылишь вирус и опять спишь спокойно. данная модификация вируса не побеспокоит. ленив я - не люблю систему перезагружать. недельный аптайм для меня норма.
да-с. с вирусами тоже можно уметь ладить.
самое главное - ну быть тупой пиздой.