пока из ваших постов, я вижу только 3 возможных варианта и во всех алгоритм работает при условии, что угроза известна:Я как раз и писал, как обойти такую проверку при предложенном Stalker4 алгоритме.
1. исполняемый файл с измененным расширением прикидывается (для примера) логом.
при таком варианте проверка первых нескольких мегабайт выявит подлог.
(такой вариант антивирус может и сейчас спокойно пропустить если не известен вирус.)
2. когда внутри лог файла инжектирован исполняемый файл/библиотека/драйвер
такой файл не сможет выполниться сам, для его работы потребуется "головной фай", переходящий по определенному смещению.
файловый антивирус поймает головной фай, а если нет, то поймает вирус в памяти.
(такой вариант антивирус может и сейчас спокойно пропустить, если неизвестен головной файл или сам вирус)
3. когда в лог файл записан "каким-то кодом" исполняемый файл/библиотека/драйвер
для такого варианта потребуется интерпретатор.
файловый антивирус поймает интерпретатор, а если нет, то поймает вирус в памяти.
(такой вариант антивирус может и сейчас спокойно пропустить, если интерпретатор не известен или неизвестен сам вирус)
Сообщение было изменено Silver_klop: 21 Март 2012 - 12:08