パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

ウイルスがウイルスに感染して進化」記事へのコメント

  • 合体の原因が本当に寄生(感染)なのか、にわかには信じられないな。 「OPASERV」と「SPACES」のそれぞれの感染機能はどうなっているんだろうか? OPASERV の自己複製機能が感染後には、感染したまま機能するという ことなんだろうか?
    --
    -- 哀れな日本人専用(sorry Japanese only) --
    • by Anonymous Coward
      SPACESは全ての.exeに自分を埋め込みます。
      OPASERVは自分自身の.exe(ScrSvr.exe)を他のPCへバラまきます。
      なので、SPACESがScrSvr.exeへ自分自身を埋め込んで、OPASERVが他のPCにバラまいたのではないかと思われます。
      • Windows で実行可能なバイナリがどのようなものか知りませんが,例えば Linux で使われる ELF 形式だと,

        /usr/bin/readelf -a hogehoge

        で見ていただければ分かるように,ダイナミックリンクするためのシンボル情報なんかが含まれていて,かなり入り組んでいるんですよね.ここに,バイナリレベルの操作で,他のプログラムコードを埋め込むのは,結構大変だと思うのですが.
        親コメント
        • by kenston (12394) on 2002年12月17日 22時33分 (#219906)
          他のプログラムコードを埋め込むのは,結構大変だと思うのですが.

          WindowsのPE形式のバイナリには隙間が多くあります。PE形式のバイナリの内部はいくつかのセクションに分かれており、それぞれのセクションはアライメントされています。即ち、セクションの先頭位置が、ファイルの先頭から1024とかのキリのいい数字になるように、0で埋められているわけです。このセクションとセクションの間の隙間にコードを埋め込むことは可能です。かつて一世を風靡したW95/CIHなどもこの方法です。

          また、再配置テーブルなどは無くても動く場合が多くあり、ここを潰してウイルスのコードを入れることもできます。

          隙間にコードを入れる方法では感染後もファイルのサイズが増えないことですが、隙間のサイズに限界があるため大きなウイルスは作られにくくなります。

          なお、PE形式のファイル感染型ウイルスのもう1つの方法としては、ファイルの末尾にウイルスを付けるという方法があります。この場合には、コードのサイズに限界はありませんが、ファイルサイズが大きくなり、最終セクションが実行可能という通常は見かけない形式になってしまいます。(普通、実行可能なコードは先頭のセクションに入り、最終セクションは読取専用のリソースになる)

          親コメント
        • by alp (1425) on 2002年12月18日 12時34分 (#220214) ホームページ 日記
          ええと、 Linux Virus Writing HOWTO [lwfug.org] 参照。
          #さっさとデバッグして公開しなくては。
          親コメント
        • 本当に大変かどうかまずじっくり考えてみればいいのに。
          DOS/Winの世界では実行ファイルに寄生するウィルスは昔から普通に存在してます。

          #いやな「普通」だけどね…。
          親コメント
        • ここに,バイナリレベルの操作で,他のプログラムコードを埋め込むのは,結構大変だと思うのですが.
          ELFもPEもフォーマットがよく定義されていてしかも非常に柔軟にできてるので、後から機能追加したりデータをもたせたりといったことが比較的簡単に行えます。

UNIXはただ死んだだけでなく、本当にひどい臭いを放ち始めている -- あるソフトウェアエンジニア

処理中...