- •Глава 1 Кто и почему пишет вирусы?3
- •Глава 1
- •1.1 Свойства компьютерных вирусов
- •1.2 Классификация вирусов
- •1.3 Загрузочные вирусы
- •1.4 Файловые вирусы
- •1.5 Полиморфные вирусы
- •1.6 Stelth-вирусы
- •1.7«Троянские кони»
- •1.8 Пути проникновения вирусов в компьютер
- •1.9 Признаки появления вирусов
- •2.1 Методы защиты от компьютерных вирусов
- •2.2 Антивирусные программы
- •2.3Классификация антивирусных продуктов
1.3 Загрузочные вирусы
Загрузочный вирус (англ. Bootvirus) — компьютерный вирус, записывающийся в первый сектор гибкого или жёсткого диска и выполняющийся при загрузке компьютера.
При включении или перезагрузке компьютера Boot-вирус заменяет собой загрузочный код и таким образом получает управление ещё до непосредственного запуска операционной системы. Вместо операционной системы загружается вирус, размещая в памяти своё тело, которое хранит в неиспользованных секторах, идущих после главной загрузочной записи (MBR), но до первого загрузочного сектора раздела. Перехватив обращения к дискам, вирус продолжает загрузку операционной системы. Размножается вирус записью в загрузочную область других накопителей компьютера.
Простейшие загрузочные вирусы, находясь в памяти заражённого компьютера, обнаруживают в компьютере не заражённый диск и производят следующие действия:
выделяют некоторую область диска и делают её недоступной операционной системе;
замещают программу начальной загрузки в загрузочном секторе диска, копируя корректную программу загрузки, а также свой код, в выделенную область диска;
организуют передачу управления так, чтобы вначале выполнялся код вируса и лишь затем — программа начальной загрузки.
Загрузочные вирусы очень редко «уживаются» вместе на одном диске из-за того, что используют одни и те же дисковые сектора для размещения своего кода/данных. В результате код/данные первого вируса оказываются испорченными при заражении вторым вирусом, и система либо зависает, либо зацикливается при загрузке.
1.4 Файловые вирусы
Файловый вирус (англ. Fileinfector) — компьютерный вирус, распространяющийся путем внедрения своего кода в тело исполняемых файлов. При каждом запуске такого заражённого файла сначала выполняется код вируса, и только потом — код самой программы.
Объектом вирусного поражения могут выступать исполняемые двоичные файлы (EXE, COM), файлы динамических библиотек (DLL), драйверы (SYS), командные файлы (BAT, CMD) и другие. Заражая файл, вирус может внедриться в его начало, конец или середину. Наиболее распространенным способом является внедрение в конец файла. При этом основной код дописывается в конец файла, а в его начало записывается команда перехода к телу вируса. Чтобы скрыть свое присутствие в системе, файловый вирус может предварительно сохранить дату и время последней модификации и значения атрибутов заражаемого файла, восстановив эти данные уже после заражения.
После того как вирус получил управление, он выполняет следующие действия:
Восстанавливает в оперативной памяти компьютера исходную программу для последующего её выполнения.
Осуществляет дальнейшее заражение, инфицируя другие файлы или оперативную память компьютера.
Выполняет иные деструктивные действия.
При этом все действия вируса, как правило, незаметны для пользователя программы.
Различают резидентные и нерезидентные файловые вирусы. Первые загружают в оперативную память резидентную часть, которая впоследствии может отслеживать открываемые пользователем файлы, заражая их. Нерезидентные вирусы, после того как получили управление, производят поиск файлов для заражения в текущем и (или) корневом каталогах,