- •Классификация компьютерных вирусов План
- •3. Понятие стелс-алгоритмов активhые стелс - вирусы
- •2. Сетевые Вирусы
- •3. Структура компьютерных вирусов
- •4. Жизненный цикл вируса
- •5. Объекты воздействия и деструктивные функции вирусов
- •6. Алгоритм работы вирусов Заражения вирусом программных файлов
- •Процесс заражения
- •7. Основные виды вирусов и схемы их функционирования Загрузочные вирусы
- •Файловые вирусы
- •Загрузочно-файловые вирусы
- •Полиморфные вирусы
- •8. Структура компьютерhого вируса
- •9. Структура файлового hерезидеhтhого вируса
- •9.2. Структура файлового резидеhтhого вируса
- •9.3. Структура бутового вируса
- •10 Активhые стелс - вирусы
Процесс заражения
Упрощенно процесс заражения вирусом программных файлов можно представить следующим образом:
1. Код зараженной программы обычно вирус получил управление первым,до начала работы программы - вирусоносителя.
2. При передаче управления вирусу он каким-то способом находит новую программу и выполняет вставку собственной копии в начало или добавляет ее в конец этой обычно еще не зараженной программы.
3. Если вирус дописывается в конец программы, то он корректирует код программы, чтобы получить управление первым.Для этого первые несколько байтов запоминаются в теле вируса, а на их место вставляется команда перехода на начало вируса. Этот способ является наиболее распространенным.
4. Получив управление, вирус восстанавливает "спрятанные" первые байты, а после обработки своего тела передает управление программе - вирусоносителю и та нормально выполняет свои функции.
Возможны случаи, когда вирус включает себя куда-то в середину программы, например в область стека. Последние случаи встречаются редко.
Вирусы действуют только программным путем.
Они, как правило, присоединяются к файлу или проникают в тело файла. В этом случае говорят, что файл заражен вирусом.
Вирус попадает в компьютер только вместе с зараженным файлом.
Для активизации вируса нужно загрузить зараженный файл, и только после этого, вирус начинает действовать самостоятельно.
Некоторые вирусы во время запуска зараженного файла становятся резидентными (постоянно находятся в оперативной памяти компьютера) и могут заражать другие загружаемые файлы и программы.
Другая разновидность вирусов сразу после активизации может быть причиной серьезных повреждений, например, форматировать жесткий диск.
Примечание 4
Формати́рование ди́ска—программныйпроцесс разметки области хранения данныхэлектронных носителей информации, расположенной на магнитной поверхности (жёсткие диски,дискеты),оптических носителях(CD/DVD/Blu-ray-диски), твердотельных накопителях (флэш-память-flashmodule, SSD) и др. Существуют разные способы этого процесса.
Само форматирование заключается в создании (формировании) структур доступа к данным, например, структур файловой системы. При этом возможность прямого доступа к находящейся на носителе информации теряется, часть ее безвозвратно уничтожается. Некоторые программные утилитыдают возможность восстановитьнекоторую часть (обычно — большую) информации с отформатированных носителей. В процессе форматирования также может проверяться и исправляться целостность носителя.
Действие вирусов может проявляться по разному:
в виде различных визуальных эффектов, мешающих работать,
полная потеря информации.
Большинство вирусов заражают исполнительные программы, то есть файлы с расширением .EXE и .COM, хотя в последнее время большую популярность приобретают вирусы, распространяемые через систему электронной почты.
|
Среди особенностей алгоритма работы вирусов выделяются следующие: • резидентность; • использование стелс-алгоритмов; • самошифрование и полиморфичность; • использование нестандартных приемов. Резидентныйвирус при инфицировании компьютера оставляет в оперативной памяти свою резидентную часть, которая затем перехватывает обращения операционной системы к объектам заражения и внедряется в них. Резидентные вирусы находятся в памяти и являются активными вплоть до выключения компьютера или перезагрузки операционной системы. Нерезидентные вирусы не заражают память компьютера и сохраняют активность ограниченное время. Некоторые вирусы оставляют в оперативной памяти небольшие резидентные программы или функции, которые не распространяют вирус. Такие вирусы считаются нерезидентными. Резидентными можно считать макровирусы, поскольку они постоянно присутствуют в памяти компьютера на все время работы зараженного редактора. При этом роль операционной системы берет на себя редактор, а понятие «перезагрузка операционной системы» трактуется как выход из редактора. В многозадачных операционных системах время «жизни» резидентного DOS-вируса также может быть ограничено моментом закрытия зараженного DOS-окна, а активность загрузочных вирусов в некоторых операционных системах ограничивается моментом инсталляции дисковых драйверов ОС. Использование стелс-алгоритмовпозволяет вирусам полностью или частично скрыть себя в системе. Наиболее распространенным стелс-алгоритмом является перехват запросов ОС на чтение/запись зараженных объектов. Стелс-вирусы при этом либо временно лечат их, либо «подставляют» вместо себя незараженные участки информации. В случае макровирусов наиболее популярный способ — запрет вызовов меню просмотра макросов. Один изпервых файловых стелс-вирусов — вирус «Frodo», первый загрузочный стелс-вирус — «Brain». Самошифрование и полиморфичность используются практически всеми типами вирусов для того, чтобы максимально усложнить процедуру детектирования вируса. Полиморфик-вирусы — это достаточно трудно обнаружимые вирусы, не имеющие сигнатур, т.е. не содержащие ни одного постоянного участка кода. В большинстве случаев два образца одного и того же полиморфик-вируса не будут иметь ни одного совпадения. Это достигается шифрованием основного тела вируса и модификациями программы-расшифровщика. Различные нестандартныеприемы часто используются в вирусах для того, чтобы как можно глубже спрятать себя в ядре ОС (как это делает вирус «ЗАРАЗА»), защитить от обнаружения свою резидентную копию (вирусы «TPVO», «Trout2»), затруднить лечение от вируса (например, поместив свою копию в Flash-BIOS) и т.д. |