アカウント名:
パスワード:
他のプログラムコードを埋め込むのは,結構大変だと思うのですが.
WindowsのPE形式のバイナリには隙間が多くあります。PE形式のバイナリの内部はいくつかのセクションに分かれており、それぞれのセクションはアライメントされています。即ち、セクションの先頭位置が、ファイルの先頭から1024とかのキリのいい数字になるように、0で埋められているわけです。このセクションとセクションの間の隙間にコードを埋め込むことは可能です。かつて一世を風靡したW95/CIHなどもこの方法です。
また、再配置テーブルなどは無くても動く場合が多くあり、ここを潰してウイルスのコードを入れることもできます。
隙間にコードを入れる方法では感染後もファイルのサイズが増えないことですが、隙間のサイズに限界があるため大きなウイルスは作られにくくなります。
なお、PE形式のファイル感染型ウイルスのもう1つの方法としては、ファイルの末尾にウイルスを付けるという方法があります。この場合には、コードのサイズに限界はありませんが、ファイルサイズが大きくなり、最終セクションが実行可能という通常は見かけない形式になってしまいます。(普通、実行可能なコードは先頭のセクションに入り、最終セクションは読取専用のリソースになる)
ここに,バイナリレベルの操作で,他のプログラムコードを埋め込むのは,結構大変だと思うのですが.
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
UNIXはただ死んだだけでなく、本当にひどい臭いを放ち始めている -- あるソフトウェアエンジニア
ちょっと信じられない。 (スコア:1)
-- 哀れな日本人専用(sorry Japanese only) --
Re:ちょっと信じられない。 (スコア:4, 参考になる)
OPASERVは自分自身の.exe(ScrSvr.exe)を他のPCへバラまきます。
なので、SPACESがScrSvr.exeへ自分自身を埋め込んで、OPASERVが他のPCにバラまいたのではないかと思われます。
Re:ちょっと信じられない。 (スコア:1)
/usr/bin/readelf -a hogehoge
で見ていただければ分かるように,ダイナミックリンクするためのシンボル情報なんかが含まれていて,かなり入り組んでいるんですよね.ここに,バイナリレベルの操作で,他のプログラムコードを埋め込むのは,結構大変だと思うのですが.
Re:ちょっと信じられない。 (スコア:5, 参考になる)
WindowsのPE形式のバイナリには隙間が多くあります。PE形式のバイナリの内部はいくつかのセクションに分かれており、それぞれのセクションはアライメントされています。即ち、セクションの先頭位置が、ファイルの先頭から1024とかのキリのいい数字になるように、0で埋められているわけです。このセクションとセクションの間の隙間にコードを埋め込むことは可能です。かつて一世を風靡したW95/CIHなどもこの方法です。
また、再配置テーブルなどは無くても動く場合が多くあり、ここを潰してウイルスのコードを入れることもできます。
隙間にコードを入れる方法では感染後もファイルのサイズが増えないことですが、隙間のサイズに限界があるため大きなウイルスは作られにくくなります。
なお、PE形式のファイル感染型ウイルスのもう1つの方法としては、ファイルの末尾にウイルスを付けるという方法があります。この場合には、コードのサイズに限界はありませんが、ファイルサイズが大きくなり、最終セクションが実行可能という通常は見かけない形式になってしまいます。(普通、実行可能なコードは先頭のセクションに入り、最終セクションは読取専用のリソースになる)
Re:ちょっと信じられない。 (スコア:2, 参考になる)
#さっさとデバッグして公開しなくては。
Re:ちょっと信じられない。 (スコア:1)
DOS/Winの世界では実行ファイルに寄生するウィルスは昔から普通に存在してます。
#いやな「普通」だけどね…。
Re:ちょっと信じられない。 (スコア:0)