Вы вообще в другую сторону поворачиваете. Не люблю я эти пустые разговоры. но не удержусь от пары вопросов:
В первом случае “лечение” производится заменой зараженного файла его (чистой) резервной копией.
Какая программа будет делать эту резервную копию? Если лечит антивирус значит и антивирус должен делать резервные копии, так? Брр, сколько же будет весить... Ужоссс...
Во втором и третьем случаях под “лечением” понимается удаления кода вируса из файла.
Вы думаете это так просто? Хорошо если в коде заражаемого файла вирус пропишет только
jmp а тело в оверлее или в отладочный люк корректно втиснет или еще где -методов внедрения "до фига и больше" и никак не три. А если задействована таблица импорта? А если все крутится вокруг точки входа? . А если в вирлабе сигнатуру не достаточно точно выделили? Я же Вам говорю попробуйте сами испытать по схеме: -заразить->вылечить->запустить. Только какой-нибудь "серьезный" бинарник(я не говорю уже о драйвере!
) Я считаю что корректно восстановить кусок кода даже имея в базе антивируса этот образец НЕВОЗМОЖНО. Банальное обновление файла до другой версии либо добавление в вирус еще один какой нибудь механизм... и все. Никакой корректности в лечении.
Без обид: И ради бога, я не доказываю никому ничего! Как хотите так и думайте, мне без разницы. Нет проблем
Это тема на десятки а то и сотни страниц... Не раздувайте форум