Завантажувальні резидентні віруси
Існує два основні легальних способи створення резидентних модулів. Багато файлових вірусів для маскування свого поширення виділяють для себе вільну ділянку пам’яті, помічають її, як зайняту і переписують туди свою копію. Деякі віруси розміщають свої копії у вільні ділянки пам’яті в таблиці векторів переривань, у відео — пам’ять, у робочі ділянки DOS, у пам’ять, відведену під системні буфери і… Читати ще >
Завантажувальні резидентні віруси (реферат, курсова, диплом, контрольна)
Завантажувальні віруси записують себе або в завантажувальний сектор диску (boot-сектор), або в сектор, що містить системний завантажувач вінчестера (Master Boot Record), або змінюють покажчик на активний boot-сектор.
Існує два основні легальних способи створення резидентних модулів. Багато файлових вірусів для маскування свого поширення виділяють для себе вільну ділянку пам’яті, помічають її, як зайняту і переписують туди свою копію. Деякі віруси розміщають свої копії у вільні ділянки пам’яті в таблиці векторів переривань, у відео — пам’ять, у робочі ділянки DOS, у пам’ять, відведену під системні буфери і в HMA-пам'ять. Після виділення блоку пам’яті вірус копіює в нього своєї код і перевизначає одне або декілька переривань, необхідних для пошуку неінфікованих файлів чи для виконання деструктивних дій або звукових і відео ефектів. У відповідності з особливостями алгоритмів роботи вірусів виділяються такі ознаки:
— резидентність;
— використання стелс-алгоритмів;
— самошифрування і поліморфічність;
— використання нестандартних прийомів.
Під терміном «резидентність» (DOS'івський термін TSR — Terminate and Stay Resident) розуміється спроможність вірусів залишати свої копії в операційній системі, перехоплювати деякі події (наприклад, запис — зчитування файлів або дисків) і викликати при цьому процедури інфікація виявлених об'єктів (файлів і секторів). Таким чином, резидентні віруси активні не тільки в момент роботи інфікованої програми, але і після того, як програма закінчила свою роботу. Резидентні копії таких вірусів залишаються життєздатними аж до чергового перезавантаження, навіть якщо на диску знищені всі інфіковані файли. Часто від таких вірусів неможливо позбутися відновленням усіх копій файлів із дистрибутивних дисків або backup-копій. Резидентна копія вірусу залишається активною і інфікує знову відновлені файли. Те ж вірно і для завантажувальних вірусів — форматування диску при наявності в пам’яті резидентного вірусу не завжди виліковує диск, оскільки багато резидентних вірусів інфікує диск повторно після того, як він відформатований. Нерезидентні віруси, навпаки, активні досить нетривалий час — тільки в момент запуску інфікованої програми. Для свого поширення вони шукають на диску неінфіковані файли і записуються в них. Після того, як код вірусу передає керування програмі-носію, вплив вірусу на роботу операційної системи зводиться до нуля аж до чергового запуску якоїсь інфікованої програми. Тому файли, інфіковані нерезидентними вірусами значно простіше видалити з диску і при цьому не дозволити вірусу заразити їх повторно.
Резидентний вірус при інфікуванні комп’ютера залишає в оперативній пам’яті свою резидентну частину, яка пізніше перехоплює звертання операційної системи до об'єктів інфікації і записується в них. Резидентні віруси знаходяться в пам’яті і залишаються активними аж до вимикання комп’ютера або перезагрузки операційної системи. Нерезидентні віруси не інфікують пам’ять комп’ютера і зберігають активність обмежений час. Деякі віруси залишають в оперативній пам’яті невеличкі резидентні програми, що не поширюють вірус. Такі віруси також вважаються нерезидентними. Резидентними можна вважати макро-віруси, оскільки вони постійно присутні в пам’яті комп’ютера на весь час роботи інфікованого редактора. У цьому випадку роль операційної системи бере на себе редактор, а поняття «перезагрузка операційної системи» трактується, як вихід із редактора. У багатозадачних операційних системах час «життя» резидентного DOS-вірусу також може обмежуватися моментом закриття інфікованого DOS-вікна, а активність завантажувальних вірусів у деяких операційних системах обмежується моментом інсталяції дискових драйверів операційної системи.
Переважна більшість резидентних завантажувальних вірусів для виділення системної пам’яті для своєї резидентної копії використовує той самий прийом — вони зменшують обсяги DOS-пам'яті і копіюють свій код у «відрізаний» блок пам’яті. Надалі деякі віруси «чекають» завантаження DOS і відновлюють початкове значення обсягу системної пам’яті - в результаті вони здаються розташованими не за межами DOS, а, як окремий блок DOS-пам'яті. Деякі завантажувальні віруси взагалі не використовують і не змінюють значення обсягу системної пам’яті. Вони копіюють себе в якусь область пам’яті, не активізуються аж до завантаження DOS і потім інсталюють свій код у системі всіма можливими в DOS засобами.