Cita:
Iniciado por culd 
Para hablarlo de manera entendible. Si un virus se ejecuta, ya estas perdido.
No necesariamente pero para eso esta como comente antes el driver de tipo filtro para el sistema de archivos, antes de que se ejecute nada se scannea.
Cita:
Iniciado por culd Para hablarlo de manera menos entendible. Un buen antivirus, se "inyecta" en la tabla de procesos del sistema operativo, y en el algoritmo de planificacion del SO.
Eso no es asi en ningun antivirus para Windows. ¿De verdad conoces como funciona alguno?
Cita:
Iniciado por culd Para el Sistema operativo, el .exe es un simple objeto, no interpreta el .exe que vemos nosotros, lo que hace es ejecutar sentencia por sentencia, en realidad tranformarla a "lenguaje maquina".
No, el microprocesador es el que ejecuta las instrucciones. El ejecutable ya esta en codigo maquina, el S.O. se encarga de mappearlo en memoria correctamente (el loader hace bastantes mas funciones como resolver las importaciones, fix-ups, etc).
Cita:
Iniciado por culd Casi todos los planificadores nuevos utilizados por sistemas operativos, al ver un proceso de E/S el SO se apropia del micro y le da espacio a otro proceso que realice la accion que necesita. AHI ES DONDE ACTIVA EL SUBPROCESO DEL ANTIVIRUS, quien "pregunta" al SO que esta haciendo el proceso anterior, y le informa que esta borrando un archivo.
Es decir que el antivirus al notar que el "virus" borro varios archivos, nota un estado anormal en ese proceso, impidiendole seguir ejecutandose ese procesos y sus procesos hijos.
Estas confundido, eso seria demasiado tarde. Existen varias formas de lograr interceptar la ejecucion de ese intento de E/S y no permitirlo siquiera. Para eso los antivirus suelen usar como ya dije varias veces drivers de tipo filtero del sistema de archivos. De cualquiera manera eso es deteccion por comportamiento, no es la funcion de un antivirus clasico y se suelen usar otras tecnicas para interceptar (SDT, detouring, callbacks del propio sistema).
Cita:
Iniciado por culd No se si se entendio lo que quise decir. Para hacerlo mas simple.
(ya todos saben que los procesadores solo ejecutan un proceso a la ves, nada mas que lo hace tan rapido y el SO cambia tan rapido de proceso a proceso, que da la impresion de multiprocesamiento)
Si pero hace rato que tenemos multiprocesadores
Cita:
Iniciado por culd 5- Justamente ese proceso que estaba en cola espera y que da lugar el SO a ejecutar la siguiente instruccion es el ANTIVIRUS. (tipica imagen cuando el Karspesky escanea una ejecucion). Entonces el proceso del antivirus, le pide al planificador que le informe que proceso anterior realizo (ahi le dice que se esta borrando un archivo), ese dato almacena el antivirus.
No se donde sacas esos datos pero son bastante bizarros ...
Cita:
Iniciado por culd Obviamente, no van a ser 2 procesos en ejecucion que va a poseer la PC. van a ser muchos procesos mas, nada mas que un proceso de E/S puede demorar milisegundos y un proceso de calculo que haga el microprocesador, puede durar nanosegundos, es decir que para el momento que el virus vuelva a tomar control del microprocesador, pudieron haber pasado miles de procesos de calculos de muchos programas diferentes (entre esos el antivirus).
De nuevo, no hace falta nada de eso, los antivirus usan drivers para interceptar, no esperan a que el S.O. les de quantum de ejecucion para desencadenar un accion tipo polling.
Cita:
Iniciado por culd Bueno, espero que no se haya echo larga la clase ;)
Jeje, si tenes messenger charlamos un rato, sobre esto dudo que encuentres mucha gente que sepa no solo por teoria sino por practica como es mi caso.
Cita:
Iniciado por culd Insisto. No es lo mismo el planificador de windows 98, que el de windows XP, que el de Windows VISTA...
Es totalmente irrelevante.