Questo sito contribuisce alla audience di

La guida risponde

0 Vota

Unire files .EXE

Domanda

Usando un programma per unire 2 files eseguibili (nella fattispecie joiner.exe) ottengo sistematicamente un messaggio dall'antivirus che mi avvisa che il trojan BO è presente nel file ottenuto unendo i due .exe. Ma facendo la scansione dei 2 files singolarmente (nonché di joiner.exe) l'antivirus se ne sta buono buono e non mi segnala la presenza di nessun virus!! Perché?

Risposta

Gli antivirus, per capire se un exe è infetto da qualche virus, cercano nel suo file degli spezzoni di byte tipici.

Ovviamente non basta una singola successione di byte, perché questa potrebbe essere presente casualmente, ma deve essere presente nel file una determinata quantità di determinate successioni di byte.
In questo modo l'antivirus non solo capisce che il file exe è infetto, ma riesce anche ad identificare di quale virus si tratti esattemente, presupposto per una eventuale "bonifica" del file.

Quando spezzetti il file exe infetto, spezzi anche quelle determinate successioni di byte, e quindi l'antivirus non riesce a capire che il file sia infetto. Ed effettivamente il singolo spezzone non è infetto: se infatti provi ad eseguirlo, non può andare in esecuzione perchè il codice è incompleto, e con il codice dell'applicazione anche quello del virus.

Quando invece ricostruisci il file intero, ecco che anche il codice del virus si ricompone ed è possibile identificarlo.

man*** - 20 anni e 1 mese fa
Registrati per commentare