Вставка в конец файла. Это наиболее распространенный случай. При это
Вставка в начало файла. В этом случае первые блоки (или все тело ) заражаемой программы обычно переписываются в конец, поэтому до передачи управления зараженной программе вирус должен предварительно переписать эти блоки на первоначальное место, заменив ими собственный код. С этой целью вирус должен переместить свое тело или хотя бы соответствующую часть сво]его кода таким образом, чтобы она не была затерта в процессе операции перезаписи. Некоторые примитивные вирусы, записыва]ясь в начало заражаемого файла, не сохраняют его содержимого. При этом естественно, зараженный файл уничтожается, а вирус, должен как-то замаскировать тот факт, что вызываемая програм]ма является неработоспособной. Для этой цели иногда используется какое-нибудь подходящее сообщение об ошибке.
Вставка тела вируса при заражении может выполняться не только в хвост файла. Встречаются случаи имплантации в начало или середину файла.
Некоторые вирусы используют более примитивный подход: вместо дописывания своего тела, в конец заражаемого com - файла они перемещают туда первые несколько блоков программы, а сами записываются на место освободившихся блоков. В этом случае только программа восстановления исходного состояния программы должна быть позиционно-независимой или размещаться где-то в фиксированных адресах памяти, используя какой-то неиспользу]емый ее участок.
При заражении com - файлов вирус запоминает в своем теле первые три (или больше) байта программы и вместо них записы]вает переход на начало собственного кода. Так поступает боль]шинство файловых вирусов, заражающих com - файлы, но не все. Дело в том, что при дописывании тела вируса в конец заражаемого файла весь код вируса должен быть написан специальным образом, обычно называемым позиционно-независимым программированием: при выполнении программы все ссылки должны адресоваться через смещения, которое обычно хранится в одном из регистров.
Файловые вирусы являются наиболее распространенной разновидностью компьютерных вирусов. Принципиально они заражают любой вид исполняемых файлов, существующих в MS DOS:com, exe, ovl и т.д. Однако основными объектами заражения являются соm и ехе - файлы. Наиболее просто осуществляется заражение соm файлов, которые представляют собой почти точную копию участ]ка памяти с загруженной программы. Единственная требуемая настройка при загрузке com - файлов состоит в загрузке сегментных регистров значениями, соответствующими месту загруз]ки программы. Значительная часть com - файлов начинается с команды перехода, обходящей содержащиеся в начале программ данные.
СТРУКТУРА ФАЙЛОВОГО НЕРИЗЕДЕНТHОГО ВИРУСА
реализация сегментированных файловых вирусов.
Структурно компьютерный вирус можно представить состоящим из двух частей: головы и хвоста. Головой называется часть вируса, которая первой получает управление. Хвост вируса - это части вируса, расположенные отдельно от головы. В простейшем случае вирус может состоять из одной головы, и действительно файловые вирусы обычно так и устроены. Такие вирусы будем называть несегментированными. В отличие от них сегментированные вирусы имеют располагающийся отдельно хвост и в какой-то мере аналогичны оверлейным программам. Примером сегментированных вирусов являются бутовые вирусы, хотя возможна
Наиболее распространенными типам компьютерных вирусов в MS DOS являются файловые нерезидентные, файловые резидентные и бутовые вирусы. Разбор анатомии компьютерных вирусов начнем с анализа структуры нерезидентного файлового вируса как простейшей разновидности этого класса системных программ.
СТРУКТУРА КОМПЬЮТЕРНОГО ВИРУСА
При передаче управления вирусу он каким-то способом находит новую программу и выполняет вставку собственной копии в начало или добавляет ее в конец этой обычно еще не зараженной программы. Если вирус дописывается в конец программы, то он то он корректирует код программы, чтобы получить управление первым. Для этого первые несколько байтов запоминаются в теле вируса, а на их место вставляется команда перевода на начало вируса. Этот способ является наиболее распространенным. Получив управление, вирус восстанавливает "спрятанные" первые байты, а после обработки своего тела передает управление программе - вирусоносителю и та нормально выполняет свои функции. Возможны случаи, когда вирус включает себя куда-то в середину программы, например в область стека. Последние случаи встречаются редко.
Упрощенно процесс заражения вирусом программных файлов можно представить следующим образом. Код зараженной программы обыч]но вирус получил управление первым до начала работы програм]мы - вирусоносителя.
ПРОЦЕСС ЗАРАЖЕHИЯ
Инфицируя программы, вирусы могут распространяться от одной программы к другой, что делает их более опасным по сравнению с другими методами компьютерного вандализма. Зараженные прог]раммы могут передаваться через дискеты или по сети на другие ЭВМ. В связи с широко распространенной практикой обмена и передачи программ на дискетах среди пользователей ПЭВМ количество зараженных программ может быть значительным, приводя к своего рода эпидемиям.
Формально компьютерным вирусом называется программа, которая может заражать другие программы путем включения в них своей, возможно модифицированной, копии, причем последняя сохраняет способность к дальнейшему размножению. Помимо заражения, вирус, подобно любой другой программе, может выполнять и другие несанкционированные действия, от вполне безобидных до крайне разрушительных. Выполняемые вирусом несанкционированные действия могут быть обусловлены наступлением определенной даты, или определенным количеством размножений, например записью зараженной программы на винчестер. При этом комбинация этих условий может быть достаточно сложной, чтобы затруднить ее определение.
Реферат про Антивирус
Реферат про Антивирус - Жетеген Улмекен на Proza.kz
Комментариев нет:
Отправить комментарий