Immer wieder ein Vergnügen ;-)

Ja, da hast du recht. Noch ein kleiner Gedankengang:
Die Festplatte wird ja in logische Sektoren unterteilt (bei Unix in Inodes). Eine Datei füllt in den meisten Fällen nicht einen ganzen Sektor; im übrigen Platz könnte man die Dateien unterbringen. Das Auslesen der "wirklichen" Datei in diesem Sektor würde auch ganz normal ausgelesen, der restliche Bereich wird ja nie überprüft...

Auch eine schöne Idee! (Das machen doch einige Viren sogar so!?)

Ist anzunehmen, kann dir aber keine beim Namen nennen (ich werde international gesucht und kann deswegen keine Stellung dazu nehmen, aber ganz unter uns: einige sind von mir :-) )

Da müßte man dann aber wiederum aufpassen, wenn die wirkliche Datei in der
Größe verändert, gelöscht oder überschrieben wird. Sonst ist nämlich das
eigene Programm weg.
Auch müßte man wieder die FAT (oder was auch immer) von Hand auslesen, um
die tatsächliche Belegung des einzelnen Clusters zu ermitteln.

Ja, das ist "leider" wahr... Zudem kann man das herzlich schlecht in 512 Bytes unterbringen (um mal wieder auf den Boden zu kommen) ;)

Und fester Ort? - Nicht umbedingt... Es gibt z. B. einen Virus, der eine infizierte Datei daran erkennt, ob sie drei NOP's enthält (ein Assembler-Befehl, der einfach gar nix macht, 0x90 der Bytecode [ich Angeber ;)]). Es wäre möglich die Daten irgendwo auf der Platte zu speichern,

Was ein NOP ist, weiß ich. Den Opcode hätte ich dir auswendig aber nicht
mehr sagen können. :-)

Ich glaube ich habe alle bis auf den vergessen ;-)

Wie funktioniert das mit den 3 NOPs genau? Wo lassen sich die finden und
wo schreibt sich der Viren-Teil hin?

da bin ich jetzt überfragt... Das einzige was ich sagen kann ist, dass der Virus die drei NOP's für die Wiedererkennung benutzt, sodass er eine Datei nicht zweimal infiziert. Wenn er eine neue Datei infizieren will, schaut er zuerst nach diesen drei NOP's... Wo er diese speichert und auch den eigenen Code repliziert, kann ich dir nicht sagen. Diese Bildungslücke hatte ich schon immer:
Wenn ein Virus eine com/exe infiziert, _muss_ der Code doch am Ende der Datei stehen. Würde er das nicht, wär die Datei nicht mehr lauffähig, da dann alle Referenzen (RAM-Speicheradressen, jmp's CS:IP etc.) nimmer stimmen würden => Absturz mit grösster Wahrscheinlichkeit... Es sei den, er würde den Code analysieren und entsprechend "umkodieren"... Weisst du wie das gemacht wird/wurde?

Man müßte ja dann wirklich alle Dateien durchsuchen, wenn ich das richtig sehe.

Ja. Natürlich könnte man dieses Verfahren verschnellern, wenn der Code schon einige "Beschränkungen" kennt. z. B. nur fehlende Bytes in logischen Sektoren benutzt, welche mit Dateien mit anfangsbuchstaben 'A' beginnen o. ä. bzw. nur logische Sektoren im Intervall [1..1000] infiziert... Das wäre eine wesentliche Performancesteigerung (würde sogar nicht einmal bemerkt werden)...

Klüger wäre es, sich in die verschiedenen
BIOS-Interrupts zum Zugriff auf die Festplatte einzuklinken

Das ist ein sehr guter Vorschlag! - Mag mich da noch an ein kleines Programm erinnern, dass mir bei jedem Lese-/Schreibzugriff ein Symbol ganz rechts oben im DOS-Fenster angezeigt hat... Das liesse sich sicher entsprechend erweitern.

Ich kenne auch ein solches Programm. Das hatte jeden Zugriff jedoch in der
kleinen Scroll Lock-LED auf der Tastatur angezeigt. War auch sehr nett
anzusehen. Ich meine mich sogar erinnern zu können, daß dieses Programm
auch unter Windows noch weitergelaufen ist. (Wenn man es vorher von DOS aus
gestartet hat. In der DOS-Box läuft sowas wohl eher nicht.)
Ich könnte mich aber auch täuschen.

*cool* :-)
Wüsstest du noch, wie man die LED anspricht??? - Da wär ich voll aufgeschmissen ;)

Du auch? Ja, das waren noch Zeiten, damals. Da war die Welt noch nicht
von Windows verweichlicht! ;-)

OHHHHH, JAAAAA, 100%-ige Übereinstimmung! :-)

Laß mich raten: Du hast zumindest "PC Intern" gelesen, wenn nicht sogar
noch "PC Underground". Beide von Data Becker. Die einzigen anständigen
Bücher, die Data Becker je veröffentlicht hat. ;-)
(Abmahnungen bitte an oben angegebene eMail-Adresse richten! ;-))

bingo! - PC Intern.
Und noch einige andere...
Aber die sind ja mitlerweilen schon alle wieder verkommen... Alles geht nur noch um SOAP, Webservices, Dreamwaver, HTML, Flash, "Windowsprogramme unter 1MB coden"...
Ach, waren das noch Zeiten... *träum* *seufz* :-))

War doch schön, als man sich noch um Listen/Sortier-Algorithmen kümmern musste

Nee, also Sortier-Algorithmen konnte ich nie leiden. Da bin ich über jede
Art von vor-implementiertem Sortier-Algorithmus schon ganz froh. Aber ansonsten
geb ich dir recht. :-)

ich hab mich auch nie über den Bubble hinwegbewegen können :-))
War schon ganz OK für die kleinen Datenbeständen von damals (waren bei mir auch nur private Projekte => um 1 ms kam's da nicht an).

Viele Grüsse

Philipp

PS: Du hast mich richtig in "Fahrt" gebracht! - Wenn ich mal weniger zu tun habe, arbeite ich mich wieder in die Abgründe und hintersten Ecken des Computers ein... Vielleicht krieg ich dann endlich mal mein Multitasking zum laufen...