Davinel писал(а): ↑10.08.2009 15:46
Читаются. Посмотрите сами на них даже нет бита "x" по умолчанию.
Отлично - как раз потенциальные места для заражения.
Davinel писал(а): ↑10.08.2009 15:46
и? как наш вирус запишет себя в / или перепишет мне path, если он пока что еще не запустился? ))
в корень никак - в $HOME на раз.
Как вы сами заметили, noexec не защищает от скриптовых(интерпретируемых вирусов)
Вопрос первого запуска вируса - конечно самый интересный
Два варианта, которые проявили себя в реальности за последние пару месяцев:
1) дыра в браузере, позволяющая выполнить произвольный код
2) взмом сайта разработчика и внедрения вредоносного кода в официальный исходный код.
Что еще.. как еще один классический вариант: заражение документов
некоторые не сознательные пользователи не отключают макросы
. А иногда предполагается, что макросы в документе нужны, а там внутри кроме нужного кода, будет еще и вредоносный.
Еще вариант, возникающий редко - возможность выполнить удаленный код.
Ali1 писал(а): ↑10.08.2009 15:38
Какова положительная программа действий? Ведь антивирус может быть сам атакован. Т.е я о том, что абсолютной защиты нет. Мероприятия, значительно повышающие надежность, снижают производительность и применимость(usability).
Ну хотя бы периодическая проверка файлов (конфигов) на изменение, должна быть. Еще надо бы периодически смотреть какие порты кто слушает и какие соединения открыты. И тому подобное.
Вот например в SLES существует скрипт seccheck, который рекомендуют периодически запускать.
Nessus - тоже неплохая программка.
Какую-нить
HIDS, тоже хорошо использовать.
Вы же регулярно моете руки перед едой, даже если подхватить какую-нить заразу маловероятно. И прививки тоже делают до начало эпидемий