- •Классификация компьютерных вирусов План
- •3. Понятие стелс-алгоритмов активhые стелс - вирусы
- •2. Сетевые Вирусы
- •3. Структура компьютерных вирусов
- •4. Жизненный цикл вируса
- •5. Объекты воздействия и деструктивные функции вирусов
- •6. Алгоритм работы вирусов Заражения вирусом программных файлов
- •Процесс заражения
- •7. Основные виды вирусов и схемы их функционирования Загрузочные вирусы
- •Файловые вирусы
- •Загрузочно-файловые вирусы
- •Полиморфные вирусы
- •8. Структура компьютерhого вируса
- •9. Структура файлового hерезидеhтhого вируса
- •9.2. Структура файлового резидеhтhого вируса
- •9.3. Структура бутового вируса
- •10 Активhые стелс - вирусы
Л. 11. БИС
Классификация компьютерных вирусов План
1. Понятие стелс-алгоритмов……………………………………………………………2
2. Сетевые Вирусы……………………………………………………………………….4
3. Структура компьютерных вирусов……………………………………………….….8
4. Жизненный цикл вируса……………………………………………………………...9
5. Объекты воздействия и деструктивные функции вирусов…………………………9
6. Алгоритм работы вирусов……………………………………………..…………….10
8. Основные виды вирусов и схемы их функционирования……………………………….14
9. СТРУКТУРА КОМПЬЮТЕРHОГО ВИРУСА……………………………………..20
9.1. СТРУКТУРА ФАЙЛОВОГО HЕРЕЗИДЕHТHОГО ВИРУСА…………………21
9.2. СТРУКТУРА ФАЙЛОВОГО РЕЗИДЕHТHОГО ВИРУСА………………….…25
9.3. СТРУКТУРА БУТОВОГО ВИРУСА…………………………………………….27
10. АКТИВHЫЕ СТЕЛС – ВИРУСЫ…………………………………………………44
3. Понятие стелс-алгоритмов активhые стелс - вирусы
Этим термином называют вирусы, в алгоритмах которых заложена возможность маскировать свое присутствие в зараженной машине.
Первые вирусы не обладали такими возможностями и их легко было обнаружить при визуальном просмотре исполняемых файлов на зараженной машине. Применение даже простейших антивирусных средств немедленно останавливало распространение таких вирусов, и они перестали вызывать эпидемии.
Появление антивирусных программ привело к новом витку в развитии технологии написания вирусов, и появление вирусов - невидимок стало естественным шагом в таком развитии.
Вирусы, использующие приемы маскировки нельзя увидеть средствами операционной системы( например, нажав в VC или NC клавишу F3 ). Это происходит потому, что вирус, активно работающий вместе с операционной системой, при открытии файла на чтение немедленно удаляет свое тело из зараженного файла, а при закрытии файла заражает его опять. Это только один из возможных приемов маскировки, существуют и другие. Так же маскируются и загрузочные (бутовые) вирусы При попытке прочитать ВООТ (загрузочный) сектор они заменяют его оригинальным, не зараженным.
Hо способность к маскировке оказалась слабым местом стелс-вирусов, позволяющим легко обнаружить их наличие на машине. Достаточно сравнить информацию о файлах, выдаваемую DOS, с фактической, содержащейся на диске, и несовпадение данных однозначно говорит о наличии вируса. То есть способность к маскировке демаскирует эти вирусы.
Использование СТЕЛС-алгоpитмов позволяет вирyсам полностью или частично скpыть себя в системе.
Наиболее распростpанённым стелс-алгоpитмом является пеpехват запpосов OC на чтение/запись заpажённых объектов. Стелс-виpyсы пpи этом:
либо вpеменно лечат их,
либо "подставляют" вместо себя незаpажённые yчастки инфоpмации.
В слyчае макpо-виpyсов наиболее попyляpным способом является запpет вызовов меню пpосмотpа макpосов.
Стелс-вирусы пытаются скрыть свое присутствие в компьютере. Они имеют резидентный модуль, постоянно находящийся в оперативной памяти компьютера. Этот модуль устанавливается в момент запуска зараженной программы или при загрузке с диска, зараженного загрузочным вирусом.
Резидентный модуль вируса перехватывает обращения к дисковой подсистеме компьютера. Если операционная система или другая программа считывают файл зараженной программы, то вирус подставляет настоящий, незараженный, файл программы. Для этого резидентный модуль вируса может временно удалять вирус из зараженного файла. После окончания работы с файлом он заражается снова.
Примером стелс-вируса может служить Magdzie.1114. Это файловый вирус, заражающий выполнимые файлы в формате EXE. При запуске зараженной программы в оперативной памяти устанавливается вирусный резидентный модуль, который перехватывает обращения к файловой системе компьютера. Если операционная система запускает или открывает для чтения файл зараженной программы, вирус временно удаляет из нее свой код. Обратное заражение происходит, когда операционная система закрывает файл.
Вирус Magdzie проявляется, удаляя все файлы, название которых начинается с CHKLIST.
Ежегодно 27 мая этот вирус выводит на экран небольшой текст и движущийся графический узор.
Загрузочные вирусы действуют по такой же схеме. Когда какая-либо программа считывает данные из загрузочного сектора, они заменяются настоящим содержимым загрузочного сектора.
В качестве загрузочного вируса, использующего для маскировки стелс-технологию, можно привести вирус July 29. Вирус распространяется, замещая главную загрузочную запись на жестких дисках и загрузочную запись на дискетах. Настоящие загрузочные секторы сохраняются. Когда программа пытается прочитать или записать данные в главную загрузочную запись жесткого диска или загрузочную запись дискеты, резидентный модуль вируса подставляет неинфицированный сектор.
Маскировка стелс-вирусов срабатывает только в том случае, если в оперативной памяти компьютера находится резидентный модуль вируса. Когда вы загружаете компьютер с системной дискеты, у вируса нет шансов получить управление и поэтому стелс-механизм не работает.