Здравствуйте, SAW!
Народная мудрость гласит: чем заболел, тем и лечимся.
a)Психологический портрет человека который(возможно это несколько братьев по несчастью) писал вирус:
Это человек, у которого, есть куча свободного времени, есть доступ к РС, некоторые знания ЯВУ, и он чем-то не удовлетворен. Это может быть школьник - с ним никто не хочет дружить, а может и "не законно" уволенный безработный, а может и пенсионер, которому гос-во не доплачивает, или ему просто занятся нечем, так как весенне-осенее обострение.
b)Любой безопасник- типа "Бородоча", Вам скажет, любая угроза считается реальной, пока не доказано обратное. Пока не убедились, что это копи-пастер, считаем, что кодер крутой и соответственно относимся к вирусу.
На будущее, если поймали вирус.
1)Обзаведитесь(можно сделать на чистом РС, после заражения) Live-CD, закачайте на него антивирусный сканер, утилиты
Sysinternals, дисковую утилиту типа
Acronis и любым рековером.
2)Изолируете зараженный РС, дисковой утилитой делаете слепок диска(см. дальше).
3)С помощью
Autoruns, контролируете, что грузится на РС (это можно сделать в виртуальной машине типа VMware, см п.2) и проверяете имя файла, производителя, контрольную сумму в сети. Не совпало - вирус.
4)Любой вирус, дожен как-то усложнить свое обнаружение, он будет скрыватся под именами системых файлов(см п. 3), востанавливатся, после удаления своими мониторами, звтруднять анализ своего алгоритма различными анти-приемами (дизассеиблирование, отладка), иногда обнаружив попытки анализа, может сделать "харакири" всей системе(см п.2), а у нас уже есть копия.
5)Запустив антиврусный сканер, можно узнать имя вируса, проанализировав его особенности, можно найти его слабые места.
У каждого вируса своя цель, т.е. он нацелен на определенные типы файлов, поиском файлов в системе занимаются FindFirst | FindNext, найдя их в листинге, можно смело говорить, что основной алгоритм, рядом. Найдя алгоритм, можно его проанализироавть и подобрать нужный декриптор.
6)Большенство вирусов пишут копи-пастеры, кусок там, кусок тут, слепили в кучу, запустили. Но есть и такие, которые написаны умными кодерами, там может быть, что угодно, даже скрытый вызов Win-API. Обычно таблетки от вирусов уже есть на антивирусных сайтах, но существует вероятность, что умышленно в коде была допущена ощибка, либо так скопи-пастили по незнанию.
7)Выполняя фаловые махинации, некоторые вирусы, удаляют рабочие файлы, вернее, они их маркируют, как удаленные и система может поверх их записать новую информацию, по этому имея слепок диска(см. п.2) можно попробывать рековером их востановить.
Для анализа кода, Вам будут полезны книги
- Крис Касперски(как пример:Техника отладки программ без исходного текста), хотя наверное нужно все его книги читать,
очень много полезной информации.
- Хогланд Г. МакГроу Г. Взлом программного обеспечения анализ и использование кода.
- А. Панов Реверсинг или защита программ от взлома.
Удачи!