Mentre si curano i file è necessario prendere in considerazione le seguenti regole:
Il ripristino del file è una procedura abbastanza facile nella stragrande maggioranza dei casi e si può seguire uno dei metodi di seguito elencati. Il metodo dipende dal procedura seguita dal virus che ha infettato quel file.
Questo metodo (vedi figura 13) è usato quando il file è infettato da un virus che si appende al corpo del file e modifica l'inizio del file. In questo caso alcuni byte dell'inizio del file sono salvati nel corpo del virus. Per ripristinare il file è necessario rimettere questi byte nella loro posizione originale e tagliare il corpo del virus.
Nel caso di un file COM questa operazione è banale, mentre nel caso di un file EXE la cosa è più complessa. I virus che si appendono ai file EXE cambiano i campi dell'header (vedi tabella 1). I valori originali sono memorizzati da qualche parte nel corpo del virus. Per ripristinare il file bisogna stabilire e trovare quali campi sono stati cambiati, rimetterli nell'header, tagliare il corpo del virus e correggere i campi che indicano la dimensione dell'immagine in memoria del programma.
Nel paragrafo 3.3.2 abbiamo visto che vi sono tre modi di infettare l'inizio di un file. Il terzo modo lo tratteremo più avanti, il secondo ed il primo modo sono rispettivamente trattati col metodo JERUSALEM e col metodo START (vedi figura 14).
Se un virus sposta tutto il corpo di un file mentre lo infetta (virus ``Jerusalem''), o sposta una porzione dell'inizio del file alla sua fine (virus ``Burger'' [Kas95]) e scrive se stesso nello spazio così ottenuto, allora per ripristinare il file basta invertire la procedura seguita dal virus.
Questo metodo è applicato quando si conosce solo come diagnosticare una infezione di un certo virus, ma non se ne conosce ancora la cura, o quando il virus si comparta come nel terzo modo di infettare l'inizio di un file (overwriting), o quando il file stesso è il virus (cioè nel caso di companion). Il metodo constiste semplicemente nel cancellare il file infetto, cancellare in questo caso significa distruggere il file sovrascrivendolo ad esempio con tutti zero e poi rimuovere il riferimento nella directory col comando DEL. In alcuni casi usare questi metodi può causare dei danni ad altri file: per esempio la cancellazione di un file infetto col virus ``DIR II'' [Hof96] provoca un malfunzionamento della FAT (File Allocation Table) facendo comparire dei lost cluster sul disco.
Questo metodo è analogo a quello utilizzato per ripristinare gli header dei file EXE. Bisogna in questo caso ricostruire l'header del device ripristinando gli indirizzi delle routine Strategy e/o Interrupts e tagliare il corpo del virus.
