Immer wieder ein Vergnügen ;-)

Ja, da hast du recht. Noch ein kleiner Gedankengang:
Die Festplatte wird ja in logische Sektoren unterteilt (bei Unix in Inodes). Eine Datei füllt in den meisten Fällen nicht einen ganzen Sektor; im übrigen Platz könnte man die Dateien unterbringen. Das Auslesen der "wirklichen" Datei in diesem Sektor würde auch ganz normal ausgelesen, der restliche Bereich wird ja nie überprüft...

Auch eine schöne Idee! (Das machen doch einige Viren sogar so!?)

Ist anzunehmen, kann dir aber keine beim Namen nennen (ich werde international gesucht und kann deswegen keine Stellung dazu nehmen, aber ganz unter uns: einige sind von mir :-) )

Da müßte man dann aber wiederum aufpassen, wenn die wirkliche Datei in der
Größe verändert, gelöscht oder überschrieben wird. Sonst ist nämlich das
eigene Programm weg.
Auch müßte man wieder die FAT (oder was auch immer) von Hand auslesen, um
die tatsächliche Belegung des einzelnen Clusters zu ermitteln.

Ja, das ist "leider" wahr... Zudem kann man das herzlich schlecht in 512 Bytes unterbringen (um mal wieder auf den Boden zu kommen) ;)

Und fester Ort? - Nicht umbedingt... Es gibt z. B. einen Virus, der eine infizierte Datei daran erkennt, ob sie drei NOP's enthält (ein Assembler-Befehl, der einfach gar nix macht, 0x90 der Bytecode [ich Angeber ;)]). Es wäre möglich die Daten irgendwo auf der Platte zu speichern,

Was ein NOP ist, weiß ich. Den Opcode hätte ich dir auswendig aber nicht
mehr sagen können. :-)

Ich glaube ich habe alle bis auf den vergessen ;-)

Wie funktioniert das mit den 3 NOPs genau? Wo lassen sich die finden und
wo schreibt sich der Viren-Teil hin?

da bin ich jetzt überfragt... Das einzige was ich sagen kann ist, dass der Virus die drei NOP's für die Wiedererkennung benutzt, sodass er eine Datei nicht zweimal infiziert. Wenn er eine neue Datei infizieren will, schaut er zuerst nach diesen drei NOP's... Wo er diese speichert und auch den eigenen Code repliziert, kann ich dir nicht sagen. Diese Bildungslücke hatte ich schon immer:
Wenn ein Virus eine com/exe infiziert, _muss_ der Code doch am Ende der Datei stehen. Würde er das nicht, wär die Datei nicht mehr lauffähig, da dann alle Referenzen (RAM-Speicheradressen, jmp's CS:IP etc.) nimmer stimmen würden => Absturz mit grösster Wahrscheinlichkeit... Es sei den, er würde den Code analysieren und entsprechend "umkodieren"... Weisst du wie das gemacht wird/wurde?

Man müßte ja dann wirklich alle Dateien durchsuchen, wenn ich das richtig sehe.

Ja. Natürlich könnte man dieses Verfahren verschnellern, wenn der Code schon einige "Beschränkungen" kennt. z. B. nur fehlende Bytes in logischen Sektoren benutzt, welche mit Dateien mit anfangsbuchstaben 'A' beginnen o. ä. bzw. nur logische Sektoren im Intervall [1..1000] infiziert... Das wäre eine wesentliche Performancesteigerung (würde sogar nicht einmal bemerkt werden)...

Klüger wäre es, sich in die verschiedenen
BIOS-Interrupts zum Zugriff auf die Festplatte einzuklinken

Das ist ein sehr guter Vorschlag! - Mag mich da noch an ein kleines Programm erinnern, dass mir bei jedem Lese-/Schreibzugriff ein Symbol ganz rechts oben im DOS-Fenster angezeigt hat... Das liesse sich sicher entsprechend erweitern.

Ich kenne auch ein solches Programm. Das hatte jeden Zugriff jedoch in der
kleinen Scroll Lock-LED auf der Tastatur angezeigt. War auch sehr nett
anzusehen. Ich meine mich sogar erinnern zu können, daß dieses Programm
auch unter Windows noch weitergelaufen ist. (Wenn man es vorher von DOS aus
gestartet hat. In der DOS-Box läuft sowas wohl eher nicht.)
Ich könnte mich aber auch täuschen.

*cool* :-)
Wüsstest du noch, wie man die LED anspricht??? - Da wär ich voll aufgeschmissen ;)

Du auch? Ja, das waren noch Zeiten, damals. Da war die Welt noch nicht
von Windows verweichlicht! ;-)

OHHHHH, JAAAAA, 100%-ige Übereinstimmung! :-)

Laß mich raten: Du hast zumindest "PC Intern" gelesen, wenn nicht sogar
noch "PC Underground". Beide von Data Becker. Die einzigen anständigen
Bücher, die Data Becker je veröffentlicht hat. ;-)
(Abmahnungen bitte an oben angegebene eMail-Adresse richten! ;-))

bingo! - PC Intern.
Und noch einige andere...
Aber die sind ja mitlerweilen schon alle wieder verkommen... Alles geht nur noch um SOAP, Webservices, Dreamwaver, HTML, Flash, "Windowsprogramme unter 1MB coden"...
Ach, waren das noch Zeiten... *träum* *seufz* :-))

War doch schön, als man sich noch um Listen/Sortier-Algorithmen kümmern musste

Nee, also Sortier-Algorithmen konnte ich nie leiden. Da bin ich über jede
Art von vor-implementiertem Sortier-Algorithmus schon ganz froh. Aber ansonsten
geb ich dir recht. :-)

ich hab mich auch nie über den Bubble hinwegbewegen können :-))
War schon ganz OK für die kleinen Datenbeständen von damals (waren bei mir auch nur private Projekte => um 1 ms kam's da nicht an).

Viele Grüsse

Philipp

PS: Du hast mich richtig in "Fahrt" gebracht! - Wenn ich mal weniger zu tun habe, arbeite ich mich wieder in die Abgründe und hintersten Ecken des Computers ein... Vielleicht krieg ich dann endlich mal mein Multitasking zum laufen...

Halihallöchen ;)

Klüger wäre es, sich in die verschiedenen BIOS-Interrupts zum Zugriff auf die Festplatte einzuklinken und alle Schreibversuche dahingehend zu überprüfen, ob der eigene Speicherbereich im MBR überschrieben wird, und das zu verhindern oder nach erfolgtem Überschreiben den eigenen MBR wieder zurückzuschreiben.

Das meinte ich ja, dass das nicht geht. Sobald das Betriebssystem geladen ist (naja, zumindest eines von den neueren Modellen) kannst du die TST-Routinen oder Interrupthandler die du vorher aufgesetzt hast vergessen. Das Betriebssystem macht Schreibzugriffe am BIOS und seinen Softwareinterrupts vorbei.

Oh, richtig, neuere Betriebssysteme schreiben gar nicht mehr über's BIOS,
sondern direkt über den Festplatten-Controller(?). Da muß ich dir recht geben.

Yep ;)
Die Sperren so ziemlich alles und machen einen Driver drum herum ;)
Die Zapfen den Port/IRQ des Controlers auf'm ISA oder PCI or what-ever an...

b) es keine Kontrolle über irgendeinen Aspekt des danach geladenen Betriebssystems, also insbesondere auch nicht der Internetverbindung, hat.

Das wäre ohnehin noch ein weiterer Aspekt gewesen, den wir bisher völlig
außer Acht gelassen haben. Irgendwie müßte ja noch ein Windows-Programm
geladen werden... Richtig...

Stimmt... Der Thread ist bei uns etwas in Abwege geraten, jedoch nicht minder interessant ;)
Aber ein Windowsprogramm dann zu starten ist nach unseren Überlegungen ziemlich das einfachste unterfangen ;-)

Nebenbei (ich bin mir sicher das hier schonmal geschrieben zu haben, kann es aber nicht finden): Du kannst schon seit Jahren keine Festplatten mehr Low-Level formatieren. Google mal nach den FAQs der entsprechenden Newsgroups, da wird das recht ausführlich behandelt.

Ich meinte bisher also das Überschreiben des kompletten Festplatteninhalts
mit Nullen.

Es gab sogar ultrakorrekte Programme, die die Festplatte zuerst mit 0-en, dann mit 254-ern und dann nochmals mit 0-en überschrieben... Na, ja, dass auch kein einziges Molekühl mehr flasch rum liegt bzw. falsch magnetisiert ist...

Viele Grüsse

Philipp

Moin,

Ich meinte bisher also das Überschreiben des kompletten Festplatteninhalts
mit Nullen.

Gut, das hätte ich als einfach formatieren verstanden. Das andere was nur das Dateisystem anlegt (aka quick-format) heisst dann logischerweise "Dateisystem anlegen".

BTW: Wenn man nicht nur Nullen sondern Zufallswerte nimmt, sollte man Hexadezimalzahlen nehmen, das ist nämlich sicherer als mit Dezimalzahlen: http://groups.google.de/groups?selm=slrna7ao6p.n1e.netnews%40itreff.de ;-)

--
Henryk Plötz
Grüße aus Berlin