Пример: Транспортная логистика
Я ищу:
На главную  |  Добавить в избранное  

Программированиеи компьютеры /

Компьютерные вирусы

←предыдущая следующая→
1 2 3 4 


Скачать реферат

Файловые вирусы

Рассмотрим теперь схему работы простого файлового вируса. В отличие от загрузочных вирусов, которые практически всегда резидентны, файловые вирусы совсем не обязательно резидентны. Рассмотрим схему функционирова-ния нерезидентного файлового вируса. Пусть у нас имеется инфицированный исполняемый файл. При запуске такого файла вирус получает управление, про-изводит некоторые действия и передает управление «хозяину» (т.е. самой про-грамме).

Какие же действия выполняет вирус? Он ищет новый объект для зараже-ния - подходящий по типу файл, который еще не заражен (в том случае, если вирус «приличный», а то попадаются такие, что заражают сразу, ничего не про-веряя). Заражая файл, вирус внедряется в его код, чтобы получить управление при запуске этого файла. Кроме своей основной функции - размножения, вирус вполне может сделать что-нибудь замысловатое (сказать, спросить, сыграть) - это уже зависит от фантазии автора вируса. Если файловый вирус резидент-ный, то он установится в память и получит возможность заражать файлы и проявлять прочие способности не только во время работы зараженного файла. Заражая исполняемый файл, вирус всегда изменяет его код - следовательно, за-ражение исполняемого файла всегда можно обнаружить. Но, изменяя код фай-ла, вирус не обязательно вносит другие изменения:

 он не обязан менять длину файла

 неиспользуемые участки кода

 не обязан менять начало файла

Наконец, к файловым вирусам часто относят вирусы, которые «имеют не-которое отношение к файлам», но не обязаны внедряться в их код. Рассмотрим в качестве примера схему функционирования вирусов известного семейства Dir-II. Нельзя не признать, что появившись в 1991 г., эти вирусы стали причи-ной настоящей эпидемии чумы в России. Рассмотрим модель, на которой ясно видна основная идея вируса. Информация о файлах хранится в каталогах. Каж-дая запись каталога включает в себя имя файла, дату и время создания, некото-рую дополнительную информацию, номер первого кластера файла и т.н. ре-зервные байты. Последние оставлены «про запас» и самой MS-DOS не исполь-зуются.

При запуске исполняемых файлов система считывает из записи в каталоге первый кластер файла и далее все остальные кластеры. Вирусы семейства Dir-II производят следующую «реорганизацию» файловой системы: сам вирус запи-сывается в некоторые свободные секторы диска, которые он помечает как сбойные. Кроме того, он сохраняет информацию о первых кластерах исполняе-мых файлов в резервных битах, а на место этой информации записывает ссылки на себя.

Таким образом, при запуске любого файла вирус получает управление (операционная система запускает его сама), резидентно устанавливается в па-мять и передает управление вызванному файлу.

2.3. Загрузочно-файловые вирусы

Мы не станем рассматривать модель загрузочно-файлового вируса, ибо никакой новой информации вы при этом не узнаете. Но здесь представляется удобный случай кратко обсудить крайне «популярный» в последнее время за-грузочно-файловый вирус OneHalf, заражающий главный загрузочный сектор (MBR) и исполняемые файлы. Основное разрушительное действие - шифрова-ние секторов винчестера. При каждом запуске вирус шифрует очередную пор-цию секторов, а зашифровав половину жесткого диска, радостно сообщает об этом. Основная проблема при лечении данного вируса состоит в том, что не-достаточно просто удалить вирус из MBR и файлов, надо расшифровать за-шифрованную им информацию. Наиболее «смертельное» действие - просто пе-реписать новый здоровый MBR. Главное - не паникуйте. Взвесьте все спокой-но, посоветуйтесь со специалистами.

2.4. Полиморфные вирусы

Большинство вопросов связано с термином «полиморфный вирус». Этот вид компьютерных вирусов представляется на сегодняшний день наиболее опасным. Объясним же, что это такое.

Полиморфные вирусы - вирусы, модифицирующие свой код в зараженных программах таким образом, что два экземпляра одного и того же вируса могут не совпадать ни в одном бите.

Такие вирусы не только шифруют свой код, используя различные пути шифрования, но и содержат код генерации шифровщика и расшифровщика, что отличает их от обычных шифровальных вирусов, которые также могут шифро-вать участки своего кода, но имеют при этом постоянный код шифровальщика и расшифровщика.

Полиморфные вирусы - это вирусы с самомодифицирующимися расшиф-ровщиками. Цель такого шифрования: имея зараженный и оригинальный фай-лы вы все равно не сможете проанализировать его код с помощью обычного дизассемблирования. Этот код зашифрован и представляет собой бессмыслен-ный набор команд. Расшифровка производится самим вирусом уже непосредст-венно во время выполнения. При этом возможны варианты: он может расшиф-ровать себя всего сразу, а может выполнить такую расшифровку «по ходу де-ла», может вновь шифровать уже отработавшие участки. Все это делается ради затруднения анализа кода вируса.

3. ИСТОРИЯ КОМПЬЮТЕРНОЙ ВИРУСОЛОГИИ

И ПРИЧИНЫ ПОЯВЛЕНИЯ ВИРУСОВ

История компьютерной вирусологии представляется сегодня постоянной «гонкой за лидером», причем, не смотря на всю мощь современных антивирус-ных программ, лидерами являются именно вирусы. Среди тысяч вирусов лишь несколько десятков являются оригинальными разработками, использующими действительно принципиально новые идеи. Все остальные - «вариации на те-му». Но каждая оригинальная разработка заставляет создателей антивирусов приспосабливаться к новым условиям, догонять вирусную технологию. По-следнее можно оспорить. Например, в 1989 году американский студент сумел создать вирус, который вывел из строя около 6000 компьютеров Министерства обороны США. Или эпидемия известного вируса Dir-II, разразившаяся в 1991 году. Вирус использовал действительно оригинальную, принципиально новую технологию и на первых порах сумел широко распространиться за счет несо-вершенства традиционных антивирусных средств.

Или всплеск компьютерных вирусов в Великобритании : Кристоферу Пайну удалось создать вирусы Pathogen и Queeq, а также вирус Smeg. Именно последний был самым опасным, его можно было накладывать на первые два вируса, и из-за этого после каждого прогона программы они меняли конфигу-рацию. Поэтому их было невозможно уничтожить. Чтобы распространить ви-русы, Пайн скопировал компьютерные игры и программы, заразил их, а затем отправил обратно в сеть. Пользователи загружали в свои компьютеры заражен-ные программы и инфицировали диски. Ситуация усугубилась тем, что Пайн умудрился занести вирусы и в программу, которая с ними борется. Запустив ее, пользователи вместо уничтожения вирусов получали еще один. В результате этого были уничтожены файлы множества фирм, убытки составили миллионы фунтов стерлингов.

Широкую известность получил американский программист Моррис. Он известен как создатель вируса, который в ноябре 1988 года заразил порядка 7 тысяч персональных компьютеров, подключенных к Internet.

Причины появления и распространения компьютерных вирусов, с одной стороны, скрываются в психологии человеческой личности и ее теневых сторо-нах (зависти, мести, тщеславии непризнанных творцов, невозможности конст-руктивно применить свои способности), с другой стороны, обусловлены отсут-ствием аппаратных средств защиты и противодействия со стороны операцион-ной системы персонального компьютера.

4. ПУТИ ПРОНИКНОВЕНИЯ ВИРУСОВ В КОМПЬЮТЕР И МЕХАНИЗМ РАСПРЕДЕЛЕНИЯ ВИРУСНЫХ ПРОГРАММ

Основными путями проникновения вирусов в компьютер являются съем-ные диски (гибкие и лазерные), а также компьютерные сети. Заражение жестко-го диска вирусами может произойти при загрузке программы с дискеты, содер-жащей вирус. Такое заражение может быть и случайным, например, если дис-кету не вынули из дисковода А и перезагрузили компьютер, при этом дискета может быть и не системной. Заразить дискету гораздо проще. На нее вирус мо-жет попасть, даже если дискету просто вставили в дисковод зараженного ком-пьютера и, например, прочитали ее оглавление.

Вирус, как правило, внедряется в рабочую программу таким образом, что-бы при ее запуске управление сначала передалось ему и только после выполне-ния всех его команд снова вернулось к рабочей программе. Получив доступ к управлению, вирус прежде всего переписывает сам себя в другую рабочую про-грамму и заражает ее. После запуска программы, содержащей вирус, становится возможным заражение других файлов. Наиболее часто вирусом заражаются за-грузочный сектор диска и исполняемые файлы, имеющие расширения EXE, COM, SYS, BAT. Крайне редко заражаются текстовые файлы.

После заражения программы вирус может выполнить какую-нибудь ди-версию, не слишком серьезную, чтобы не привлечь внимания. И наконец, не забывает возвратить управление той программе, из которой был запущен. Каж-дое выполнение зараженной программы переносит вирус в следующую. Таким образом, заразится все программное обеспечение.

5. ПРИЗНАКИ ПОЯВЛЕНИЯ ВИРУСОВ

При заражении компьютера вирусом важно его обнаружить. Для этого сле-дует знать об основных признаках проявления вирусов. К ним можно отнести следующие:

• прекращение работы или неправильная работа ранее успешно функциони-ровавших программ

• медленная работа компьютера

• невозможность загрузки операционной системы

• исчезновение файлов и каталогов или искажение их содержимого

• изменение даты и времени модификации файлов

• изменение размеров файлов

• неожиданное значительное увеличение количества файлов на диске

←предыдущая следующая→
1 2 3 4 



Copyright © 2005—2007 «Mark5»