パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

ウイルスがウイルスに感染して進化」記事へのコメント

  • 合体の原因が本当に寄生(感染)なのか、にわかには信じられないな。 「OPASERV」と「SPACES」のそれぞれの感染機能はどうなっているんだろうか? OPASERV の自己複製機能が感染後には、感染したまま機能するという ことなんだろうか?
    --
    -- 哀れな日本人専用(sorry Japanese only) --
    • by Anonymous Coward
      SPACESは全ての.exeに自分を埋め込みます。
      OPASERVは自分自身の.exe(ScrSvr.exe)を他のPCへバラまきます。
      なので、SPACESがScrSvr.exeへ自分自身を埋め込んで、OPASERVが他のPCにバラまいたのではないかと思われます。
      • Windows で実行可能なバイナリがどのようなものか知りませんが,例えば Linux で使われる ELF 形式だと,

        /usr/bin/readelf -a hogehoge

        で見ていただければ分かるように,ダイナミックリンクするためのシンボル情
        • by kenston (12394) on 2002年12月17日 22時33分 (#219906)
          他のプログラムコードを埋め込むのは,結構大変だと思うのですが.

          WindowsのPE形式のバイナリには隙間が多くあります。PE形式のバイナリの内部はいくつかのセクションに分かれており、それぞれのセクションはアライメントされています。即ち、セクションの先頭位置が、ファイルの先頭から1024とかのキリのいい数字になるように、0で埋められているわけです。このセクションとセクションの間の隙間にコードを埋め込むことは可能です。かつて一世を風靡したW95/CIHなどもこの方法です。

          また、再配置テーブルなどは無くても動く場合が多くあり、ここを潰してウイルスのコードを入れることもできます。

          隙間にコードを入れる方法では感染後もファイルのサイズが増えないことですが、隙間のサイズに限界があるため大きなウイルスは作られにくくなります。

          なお、PE形式のファイル感染型ウイルスのもう1つの方法としては、ファイルの末尾にウイルスを付けるという方法があります。この場合には、コードのサイズに限界はありませんが、ファイルサイズが大きくなり、最終セクションが実行可能という通常は見かけない形式になってしまいます。(普通、実行可能なコードは先頭のセクションに入り、最終セクションは読取専用のリソースになる)

          親コメント

192.168.0.1は、私が使っている IPアドレスですので勝手に使わないでください --- ある通りすがり

処理中...