Druzya.org
Возьмемся за руки, Друзья...
 
 
Наши Друзья

Александр Градский
Мемориальный сайт Дольфи. Светлой памяти детей, погибших 1 июня 2001 года, а также всем жертвам теракта возле Тель-Авивского Дельфинариума посвящается...

 
liveinternet.ru: показано количество просмотров и посетителей
Библиотека :: Дипломы,курсовые,рефераты :: Кибернетика :: Реферат: Вирусы и средства защиты от них
<<-[Весь Текст]
Страница: из 11
 <<-
  
не обязан менять начало файла
Наконец, к файловым вирусам часто относят вирусы, которые «имеют
некоторое отношение к файлам», но не обязаны внедряться в их код.
Таким образом, при запуске любого файла вирус получает управление
(операционная система запускает его сама), резидентно устанавливается в
память и передает управление вызванному файлу.


Загрузочно-файловые вирусы


Мы не станем рассматривать модель загрузочно-файлового вируса, ибо
никакой новой информации вы при этом не узнаете. Но здесь представляется
удобный случай кратко обсудить крайне «популярный» в последнее время
загрузочно-файловый вирус OneHalf, заражающий главный загрузочный сектор
(MBR) и исполняемые файлы. Основное разрушительное действие - шифрование
секторов винчестера. При каждом запуске вирус шифрует очередную порцию
секторов, а, зашифровав половину жесткого диска, радостно сообщает об этом.
Основная проблема при лечении данного вируса состоит в том, что
недостаточно просто удалить вирус из MBR и файлов, надо расшифровать
зашифрованную им информацию.



Полиморфные вирусы

Большинство вопросов связано с термином «полиморфный вирус». Этот вид
компьютерных вирусов представляется на сегодняшний день наиболее опасным.
Объясним же, что это такое.
Полиморфные вирусы - вирусы, модифицирующие свой код в зараженных
программах таким образом, что два экземпляра одного и того же вируса могут
не совпадать ни в одном бите.
Такие вирусы не только шифруют свой код, используя различные пути
шифрования, но и содержат код генерации шифровщика и расшифровщика, что
отличает их от обычных шифровальных вирусов, которые также могут шифровать
участки своего кода, но имеют при этом постоянный код шифровальщика и
расшифровщика.
Полиморфные вирусы - это вирусы с самомодифицирующимися
расшифровщиками. Цель такого шифрования: имея зараженный и оригинальный
файлы, вы все равно не сможете проанализировать его код с помощью обычного
дизассемблирования. Этот код зашифрован и представляет собой бессмысленный
набор команд. Расшифровка производится самим вирусом уже непосредственно во
время выполнения. При этом возможны варианты: он может расшифровать себя
всего сразу, а может выполнить такую расшифровку «по ходу дела», может
вновь шифровать уже отработавшие участки. Все это делается ради затруднения
анализа кода вируса.

Стелс-вирусы
В ходе проверки компьютера антивирусные программы считывают данные -
файлы и системные области с жестких дисков и дискет, пользуясь средствами
операционной системы и базовой системы ввода/вывода BIOS. Ряд вирусов,
после запуска оставляют в оперативной памяти компьютера специальные модули,
перехватывающие обращение программ к дисковой подсистеме компьютера. Если
такой модуль обнаруживает, что программа пытается прочитать зараженный файл
или системную область диска, он на ходу подменяет читаемые данные, как
будто вируса на диске нет.
Стелс-вирусы обманывают антивирусные программы и в результате остаются
незамеченными. Тем не менее, существует простой способ отключить механизм
маскировки стелс-вирусов. Достаточно загрузить компьютер с не зараженной
системной дискеты и сразу, не запуская других программ с диска компьютера
(которые также могут оказаться зараженными), проверить компьютер
антивирусной программой.
При загрузке с системной дискеты вирус не может получить управление и
установить в оперативной памяти резидентный модуль, реализующий стелс-
механизм. Антивирусная программа сможет прочитать информацию, действительно
записанную на диске, и легко обнаружит вирус.


Анализ алгоритма вируса


На мой взгляд, наиболее удобным для хранения и анализа вируса объектом
является файл, содержащий его (вируса) тело. Как показывает практика, для
анализа файлового вируса удобнее иметь несколько зараженных файлов
различной, но не очень большой, длины. При этом желательно иметь зараженные
файлы всех типов (COM, EXE, SYS, BAT, NewEXE), поражаемых вирусом. Если
необходимо проанализировать часть оперативной памяти, то при помощи
некоторых утилит (например, AVPUTIL.COM) довольно просто выделить участок,
где расположен вирус, и скопировать его на диск. Если же требуется анализ
сектора MBR или boot-сектора, то скопировать их в файлы можно при помощи
 
<<-[Весь Текст]
Страница: из 11
 <<-