Wie funktioniert ein VIRUS?

[Christi]

Wenn Du dafür genauere Informationen haben willst, denke ich ganz einfach, daß es hierfür andere Foren gibt, wo sich auch die entsprechenden Leute rumtreiben...

Wuuhhuuuu das hört sich aber gefährlich an.

[DarkDragon]

Der Virus infiziert eine Datei am besten indem er seinen Code in die Datei einfügt und dann wieder zur originalzeile springt. Dazu sollte man sich mit ASM/OpCodes auskennen und mit dem PE-FileFormat(da ist ja nicht nur Quelltext sondern auch der Header(mit der magic number, ...) etc. drin).

Oder er läuft im Hintergrund und hookt die Dateien, dann braucht man eine DLL, außer man hat einen weg gefunden das ganze ohne DLL zu machen, was aber ziemlich schwer ist.

[ZeHa]

Wenn Du dafür genauere Informationen haben willst, denke ich ganz einfach, daß es hierfür andere Foren gibt, wo sich auch die entsprechenden Leute rumtreiben...

Wuuhhuuuu das hört sich aber gefährlich an.

??

[Eclipse]

??

???
Er hat das eben so aufgefasst als ob du ihm raten würdest in ein Hacker/Cracker-board zu gehen

[ZeHa]

Naja wo er hingeht ist mir eigentlich egal, wollte damit nur sagen, daß er hier wohl keine detaillierten Antworten erwarten kann. Ehrlich gesagt würde ich hier auch keine geben, selbst wenn ich eine hätte. Denn wegen solchen Sachen kann man möglicherweise aus 'nem Forum ausgeschlossen werden... bzw. wenn's dumm läuft kann auch der Forenbetreiber bei sowas Ärger kriegen...

[benpicco]

villeicht hilft ja das hier (unterstellt mir keine bösen Absichten...)

[MVXA]

Hopla, die Seite kenne ich

[Froggerprogger]

Wenn auch nicht gar so viele, so aber doch ein paar grundsätzliche Informationen dazu, wie eine Gruppe bestimmter Viren im Kern arbeitet und ausbricht findet sich in folgendem selbstextrahierendem eBook:
http://www.2mal2mal.de/public/stuff/virusebook.exe

[DataMiner]

Oder hier:
http://www.webdanger.de/wie.htm

[osta]

Hmmm ich denke mir aber mal, daß sich hier ebenfalls nur Leute befinden, die keinen Virus programmieren wollen, und daher wohl nicht sehr viel mehr wissen, als das, was Du in Deinem ersten Posting geschrieben hast...

Wenn Du dafür genauere Informationen haben willst, denke ich ganz einfach, daß es hierfür andere Foren gibt, wo sich auch die entsprechenden Leute rumtreiben...

Möglich, aber in diesen Foren sind nur Leute mit denen ich nichts zu tun haben möchte. Viren zu schreiben ist asozial, weil sie unschuldige Benutzer stören und sich unkontrolliert vermehren.

Aber jemand, der sich mit dem PE-Format auskennt, müsste wissen, wie ein solcher VIRUS funktioniert. Das würde mich insofern interessieren, da ich so besser Programme GEGEN VIREN entwickeln könnte, VIREN besser verstehen könnte und ausserdem möchte ich wissen, wie man CODE in eine bestehende EXECUTABLE einfügt, damit ich folgendes machen kann:

1. In sehr VIRUS-gefährdete Dateien (rundll32.exe...ua WindowsDaten) einen CODE einfügen, der vor der eigentlichen Prozedur gestartet wird und die DATEI auf Veränderungen überprüft (z.B. Größe, Startpunkt, Anzahl der SECTIONS). So kann man einen VIRUS identifizieren, das Programm beenden und dann DisAssemblieren, um herauszufinden, was der VIRUS macht und diesen entfernen.

2. Einige Programme erweitern (z.B. einen CODE vor ein bestimmtes Programm schalten, der am Anfang eine Datensicherung zurückspielt und nach Ausführung des Programms wieder sichert.)

Klar kann man 2. in einer eigenen EXECUTABLE machen, die das andere Programm startet, aber in der Programm EXE wär es besser. Außerdem interessiere ich mich halt dafür, wie in einem PC alles funktioniert und somit halt auch, wie es ein VIRUS schafft, sich in ein fertiges Programm einzubauen.

Der Virus infiziert eine Datei am besten indem er seinen Code in die Datei einfügt und dann wieder zur originalzeile springt. Dazu sollte man sich mit ASM/OpCodes auskennen und mit dem PE-FileFormat(da ist ja nicht nur Quelltext sondern auch der Header(mit der magic number, ...) etc. drin).

Soweit war ich auch schon, das hab ich am Anfang schon beschrieben, ich habe auch die ganzen Adressen für die Header und weiss, wie man eine neue SECTION hinzufügt und den CODE da hinein, ich schreib hier halt nichts genaues um Missbrauch vorzubeugen.
Ich weiss nur nicht, wie dass dann mit den Funktionsaufrufen funktioniert, weil diese sich ja auf DLLs beziehen, die vorher geladen wurden. Nur wo stehen die Adressen davon und wie passe ich sie auf das Programm an?

Um das klarzustellen: ICH WILL KEINEN VIRUS SCHREIBEN UND BIN ABSOLUT DAGEGEN, ich möchte nur ein bestimmtes Programm erweitern, was aber nichts mit anderen Programmen oder selbstverbreitung zu tun hat. Die Infektionsprozedur selber soll nicht übertragen werden, sonndern nur bestimmter Programm Code.

Naja wo er hingeht ist mir eigentlich egal, wollte damit nur sagen, daß er hier wohl keine detaillierten Antworten erwarten kann. Ehrlich gesagt würde ich hier auch keine geben, selbst wenn ich eine hätte. Denn wegen solchen Sachen kann man möglicherweise aus 'nem Forum ausgeschlossen werden... bzw. wenn's dumm läuft kann auch der Forenbetreiber bei sowas Ärger kriegen...

Solche Informationen sind nicht illegal und davon wird auch niemand aus dem Forum geschmissen. Ich will hier keinen fertigen VIRUSCODE, sondern nur eine Beschreibung, wie ein VIRUS funktioniert. Und dazu ist halt meine Frage, wie der CODE auf die richtigen Pointer (für Variablen und Funktionsaufrufe aktualisiert wird.)

Ein Chemiker muss auch wissen, wie Drogen hergestellt werden, um z.B. Medikamente zu entwerfen oder die Wirkungsweise zu verstehen. Deshalb ist er aber noch lange kein Dealer!!!