Message porty & viry (was: Junk mail)

[Mamlason@tnet.cz (Hlavaty Jan)]

On 16-Jan-97, jerryp@bbs.infima.cz wrote:
>PS:  Jo, Mamlasone, kdyz uz ti odpovidam: Nemohl bys nam vsem prozradit,
>     jak je teda mozny se ubranit virum, co napadaji message-porty
>     filesystemu?  Soucasne antiviraky jsou zde asi na nic, ze?

Hmmm... obavam se ze jo. Asi by to chtelo nejakyho rezidentniho
hlidaciho programka... jak bych to udelal ja je mi jasny, ale jak by
to udelali fsichni :-)

Na nove, nezname viry plati vcelku dve veci:

1) Pasivni - Udrzovani databaze kontrolnich souctu a delek vsech fajlu na
harddisku a jejich obcasna kontrola -> tim najdete skoro kazdy linkvirus -
POKUD ovsem nepouziva stealth techniky (takovy viry na Amize zatim bud
neexistujou, nebo sou v tom prilis dobry :-)

2) Aktivni - nejaka forma rezidentniho programu, ktery by tam proste
sedel a sestrelil cokoliv co by se pokusilo o nejakou podezrelou aktivitu.
Idealni by treba bylo vyuziti MMU pro zakaz zapisu na vektory knihoven,
autorizace volani nebezpecnych funkci pomoci navratove adresy ulozene
na zasobniku (->zjisteni programu, segmentu a offsetu ktery volani provadi) a
kontrola jestli odtud smi... bombasticka by byla totalni zmena
formatu vsech executable souboru a patch na LoadSeg() ktery by je umel nacitat
jako normalni executable - vsechny viry vy chudaci mysleli ze je
to datovy soubor a nechali by ho na pokoji).

Cela tahle zalezitost by se dala treba umistit do RDB na harddisku a byla by
tedy aktivovana zarucene driv nez nejaky virus dostane sanci...

Dobry, ne? Ted este jeden dotaz: Kdo to napise? :-)))

-- 
 __  __
|  \/  |
| |\/| |
|_|  |_|amlason