Аналіз алгоритму вірусу

Анализ алгоритму вируса.

На погляд, найзручнішим для збереження і аналізу вірусу об'єктом є.

файл, у якому його (вірусу) тіло. Практика показує, дляанализа.

файлового вірусу зручніше мати кілька заражених файлів різної, але з.

дуже великі, довжини. У цьому бажано мати заражені файли всехтипов (COM,.

EXE, SYS, BAT, NewEXE), поражаемых вірусом. Якщо потрібно проаналізувати.

частина оперативної пам’яті, то, при допомоги деяких утилит (например, AVPUTIL.COM).

досить просто виділити ділянку, де міститься вірус, і скопіювати його за.

диск. Якщо потрібно аналіз сектора MBR илиboot-сектора, то скопіювати в.

файли можна з допомогою популярних «Нортоновских утиліт» чи AVPUTIL. Для.

зберігання завантажувального вірусу наиболееудобным є файл-образ зараженого.

диска. На його отримання необхідно відформатувати дискету, заразити її.

вірусом, скопіювати образ дискети (всесектора, починаючи з нульового і закінчуючи.

останнім) в файл й за необхідності скомпрессировать його (її можна.

проробити з допомогою «Нортоновскихутилит», програм TELEDISK чи DISKDUPE).

Заражені файли чи файл-образ зараженої дискети краще передати розробникам.

антивірусних програм електронною поштою чи, в крайньому случае, на дискеті по.

звичайній пошті. Але якщо це піде чимало часу, яке, як відомо, не.

чекає, то користувачам, досить впевненим у собі, можнопопробовать і.

самостійно дати раду вірус і хочеться написати власний антивірус.

При аналізі алгоритму вірусу доведеться з’ясувати:

способ (ы) розмноження вірусу;

характер можливих ушкоджень, які вірус завдав інформації, що зберігається на.

дисках;

метод лікування оперативної пам’яті і заражених файлів (секторів).

За позитивного рішення з завдань замало без дизассемблера чи отладчика (наприклад,.

отладчиков AFD, AVPUTIL, SoftICE, TorboDebugger, дизассемблеровSourcer чи IDA).

І отладчики, і дизассемблеры мають значення і позитивні й негативні риси —.

кожен вибирає очевидно: він вважає зручнішим. Нескладні короткі.

вирусыбыстро «розкриваються» стандартним отладчиком DEBUG, під час аналізу об'ємних і.

высокосложных полиморфик-стелс-вирусов замало без дизассемблера.

Еслинеобходимо швидко знайти метод відновлення уражених файлів,.

досить пройтися отладчиком по початку вірусу доти місця, де зараз його.

восстанавливаетзагруженную програму до того, як передати їй управління.

(саме цей алгоритм найчастіше використовується під час лікування вірусу).

Якщо ж требуетсяполучить детальну картину роботи вірусу або добре.

документований лістинг, то крім дизассемблеров Sourcer чи IDA зі своїми.

можливостями восстанавливатьперекрестные посилання, тут навряд що допоможе. До.

до того ж треба враховувати, що, по-перше, деякі віруси доволі вдало.

блокують попыткипротрассировать їх коди, а по-друге, під час роботи з отладчиком.

існує ненульова можливість, що вірус вирветься з-під контроля.

При аналізі файлового вірусу необхідно з’ясувати, які файли (COM, EXE, SYS).

уражаються вірусом, у який місце (місця) в файлі записується код вірусу— в.

початок, кінець чи середину файла, що не обсязі можливо відновлення файла.

(в цілому або частково), де вірус зберігає.

восстанавливаемуюинформацию.

При аналізі завантажувального вірусу основним завданням є з’ясування адреси.

(адрес) сектора, у якому вірус зберігає початковий завантажувальний.

сектор (если, звісно, вірус зберігає его).

Для резидентного вірусу потрібно також виділити ділянку коду, створює.

резидентную копію вірусу і обчислити можливі адреси точок входу.

вперехватываемые вірусом переривання. Слід також визначити, як.

і оперативному пам’яті вірус виділяє місце для своєї резидентной.

копии:записывается чи вірус за фіксованими адресами до системні області DOS і.

BIOS, зменшує чи розмір пам’яті, виділеної під DOS (слово за адресою.

[0000:0413]), создает з себе спеціальний MCB-блок або використовує якийсь.

інший способ.

Існують особливі випадки, коли аналіз вірусу може дуже складної для.

користувача завданням, наприклад під час аналізу полиморфик-вируса. У цьому вся случаелучше.

звернутися до спеціаліста з аналізу кодів программ.

Для аналізу макро-вирусов необхідно одержати текст їх макросів. Для.

нешифрованных не-стелс вірусів це досягається з допомогою меню Tools/Macro.Если.

ж вірус шифрує свої макроси чи використовує стелс-приемы, необхідно.

скористатися спеціальними утилітами перегляду макросів.

Такиеспециализированные утиліти є в кожної фірми-виробника.

антивірусів, але вони є утилітами «внутрішнього користування» і.

распространяютсяза межі фирм.

Сьогодні відома єдина shareware-программа для перегляду.

макросів — Perforin. Однак це утиліта доки підтримує файли Office97.