Файловый архив студентов. Файловый архив студентов.
1261 вуз, 4607 предмет.
/ Регистрация
FAQ Обратная связь Вопросы и предложения
Добавил:
Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз:
Вятский государственный университет
Предмет:
[НЕСОРТИРОВАННОЕ]
Файл:
Информационная безопасность / ЛекцииИБИЗИ [by LChaos].doc
Скачиваний:
32
Добавлен:
02.06.2015
Размер:
1.08 Mб
Скачать
►Содержание►

Загрузочные вирусы

Практически все загрузочные вирусы являются резидентными. Принцип действия основан на алгоритмах запуска операционной системы при включении или перезагрузке компьютера. Вирус подменяет код загрузчика и при запуске операционной системы получает управление. Как правило, несколько вирусов данного типа плохо уживаются на одном компьютере.

Существует несколько вариантов размещения на диске первоначального загрузочного сектора и продолжений вируса:

1. Сектора свободных кластеров логического диска.

2. В используемых или редко используемых системных секторах.

3. В секторах, расположенных за пределами диска.

Попадают в компьютер в основном с дискет.

Макровирусы

Для существования вирусов в конкретной системе необходимо наличие встроенного макроязыка со следующими возможностями:

1. Привязка программы на макроязыке к конкретному файлу.

2. Копирование макропрограмм из одного файла в другой.

3. Возможность получения управления макропрограммой без вмешательства пользователя.

Все макровирусы можно назвать резидентными.

Алгоритм работы для MSWord:

1. Большинство известных вирусов переносят свой код в область глобальных макросных документов. При выходе из документа глобальные макросы записываются в файл Normal.dot;

2. Базируется на файлах-дополнениях (используется редко);

3. Внедрение через файлы templates(шаблоны).

В Excel’е методы внедрения аналогичны, отличаются только имена макросов.

В Access’е вместо макросов используются скрипты, которые вызываются при различных событиях.

Незараженный файл-документ Вирус в файле-документе

Polymorphic-вирусы

Полиморфизм встречается во всех видах вирусов (файловые, загрузочные, макровирусы и т.д.). Варианты осуществления механизма полиморфии:

1. Шифрование основного кода вируса кодом с непостоянным ключом.

2. Исполнение случайного набора команд.

Резидентные вирусы – у таких вирусов есть способность оставлять копии в системной памяти, а затем в файлах.

Резидентные dos вирусы

  1. Способы остаться резидентной:

а) записаться в config.sysв виде драйвера

б) при помощи функции keepоставляет программу в памяти

в) обработка системных областей

  1. Перехват файлов (прерывание int21h)

  2. Обнаружение своей резидентной копии:

а) дописывание своего обработчика к какому-нибудь прерыванию. Вводится новая функция некоего прерывания, которая отвечает, что “я тут”.

б) вирус записывает “я тут” в какую-либо редко используемую область памяти (например, таблица векторов).

в) сканирование памяти компьютера (редко).

Резидентные загрузочные вирусы

  1. Способы остаться резидентной: большинство уменьшает объем памяти компьютера и копирует свой код в отрезок памяти.

  2. Перехват: используют 13-е прерывание (прерывание для работы с дисками).

  3. Проверка: часто не проверяют память на наличие копии

Резидентные Windows-вирусы

  1. Способы остаться резидентной:

а) зарегистрировать программу как одно из приложений (обычно регистрируются как сервис, а не программа)

б) остаться резидентно, как VxD-драйвер

  1. Перехват:

а) перехватываются вызовы int21h

б) перехват системных вызово API

  1. Проверка: как и в DOSвирусах.

Резидентные макровирусы

  1. Перехват: перехватываются основные макросы WordиExcel(open,close,print…), нажатия на пользовательские клавиши и события (autosave).

  2. Проверка: некоторые проверяют, а некоторые просто перезаписывают свой код.

Стелс-вирусы

Они скрывают свое присутствие в операционной системе. Загрузочные стелс-вирусы для сокрытия своего кода используют способы:

1. Перехват команды чтения зараженного сектора (INT13) и подстановка вместо него незараженного оригинала.

2. При запуске любой программы восстановление зараженных секторов, а после окончание – снова заражение диска.

Файловые вирусы

К ним относятся вирусы, которые при размножении используют файловую систему какой-либо операционной системы.

Классификация по способу заражения:

  1. Перезаписывающие – вирус пишет свой код вместо заражаемого файла.

  2. Паразитирующие – обязательно изменяет файл, оставляя его полностью или частично работоспособным (из заголовка файла идет ссылка на вирус, после чего восстановление работы файла) или внедрение вируса в конец файла.

COM-файл EXE-файл

  1. Вирусы без точки входа – вешаются на подпрограмму (ссылка на вирус идет не вначале, а в процессе выполнения файла).

  2. Компаньон-вирусы (не изменяют заражаемого файла). Разновидности:

    1. создается файл-двойник

    2. замена расширения файла с созданием копии

    3. path-компаньоны - прописывают путь (path) к вирусам, перенаправляют ярлыки.

  3. файловые черви – при размещении они копируют свой код в какие-либо каталоги дисков в надежде на то, что они когда-нибудь будут запущены пользователем.

  4. link-вирусы (существует всего одинDirII)

    До заражения данные каталога хранят адрес первого кластера файла:

    После заражения данные каталога указывают на вирус:

  5. obj,lib-вирусы. Они заражают файлы с этими расширениями и записывают туда свой код в виде объектного модуля или библиотеки.

Соседние файлы в папке Информационная безопасность
Помощь Обратная связь Вопросы и предложения Пользовательское соглашение Политика конфиденциальности