А.И. Куприянов - Основы защиты информации (1022813), страница 48
Текст из файла (страница 48)
обычно гпту, реже лп). Для предупреждения повторного заражения файлов вирусы используют специальные приемы. Например, в поле даты и времени создания файла проставляются несуществующие данные. Резидентный вирус вводит дополнительную функцию перехваченного им прерывания, которая возвращает значение, означающее присутствие копии вируса в памяти. Другим наиболее часто используемым способом регистрации наличия резидентного вируса в памяти является запись в редко используемую область памяти некоторой комбинации битов. Процесс лечения от файловых вирусов обычно заключается в поиске в теле вируса сохраненных байтов, восстановление их в программе носителе и «вырезании» вируса из кода программы. Разумеется, файловые вирусы используют и другие механизмы взаимодействия с программными модулями. Например, так называемые вирусы-компаньоны (они заражают '.ехе модули) не изменяют заражаемого модуля, а используют свойство операционной системы, заключающееся в том, что из нескольких выполняемых модулей с одинаковыми именами 1)ОБ в первую очередь выполняет при запуске по имени модуль с расширением сопт, т.е.
вирус записывает в каталог, содержащий заражаемый '.ехе файл свой код в модуль с тем же именем, но с расширением сот. Другим примером служат так называемые 11п1с-вирусы„представителем которых является печально известный О1К 11. Вирус хранит на диске только одну свою копию, а при заражении выполняемых модулей лишь прописывает в соответствующем разделе Ы таблицы вместо номера начального кластера файла физический адрес начала вируса на диске. Бутовый вирус. Он заражает жесткие и гибкие диски (как загрузочные, так и иные). В отличие от файлового вируса он состоит из двух раздельных секций: головы и хвоста.
Положение головы вируса всегда одинаково — она расположена в Воок секторе. На жестком диске начальные байты вируса могут располагаться в одном из его двух Воок секторов: главном (МВК по адресу О/О/1) или Воок секторе логического диска С. Последние байты — в разли- 223 чных местах, а именно: в кластерах, помеченных в РАТ как сбойные, последних физических секторах дискеты или диска, в используемых или неиспользуемых блоках ГАТ главного каталога или одного из подкаталогов, на дополнительных дорожках дискеты или винчестера.
В любом случае хвост вируса должен содержать копию оригинального Воок сектора. Если она не закодирована, то положение хвоста в большинстве случаев может быть определено глобальным контекстным поиском. Механизм размножения вируса однотипен. При загрузке с зараженной дискеты бутовый вирус, заменяющий в Воо~ секторе загрузчик БОБ, получает управление и сначала копирует себя в старшие адреса памяти. Затем он уменьшает размер памяти, заменяя значения вектора прерываний с АЬ для защиты резидентной части вируса и ВЬ для перехвата обращений к диску, Таким образом, при обращении к диску управление всегда передается вирусу. Вирус запускает стандартный системный загрузчик, и только после этого происходит стандартная загрузка ПОБ.
Получив управление по прерыванию 13Ь, вирус анализирует, относится это к дискете или винчестеру. Если это обращение относится к дискете, вирус проверяет, заражена она уже или нет. Для этого считывается Воок сектор и проверяется его содержимое. Если дискета заражена, то вирус приступает к обработке непосредственно прерывания. Если дискета не заражена, то вирус сначала заражает ее. Большая часть загрузочных вирусов не проверяет системную память на наличие своей уже установленной ТБК копии: они либо используют СТЕЛС приемы, при которых повторный запуск кода вируса невозможен, либо ориентируются на то, что код вируса загружается однократно в момент загрузки РОБ. После первоначальной загрузки коды загрузочных секторов дисков больше не выполняются ни при каких условиях.
Часть вирусов проверяет наличие своей копии. Для этого используются либо специальные вызовы 1ХТ 13Ь с каким-нибудь нестандартным значением, либо помечается заведомо неиспользуемый байт (или слово) в таблице векторов прерываний или в области данных В1ОБ (0040: 00??). Существуют и другие способы обнаружения своей ТБК копии. Важно, что некоторые бутовые вирусы перехватывают прерывания от клавиатуры и поэтому могут сохраниться в памяти при быстрой перезагрузке по команде [Ссг1] + 1АЫ] + 1Ре1].
%шйоюв-вирусы. Для того чтобы оставить выполняемый код в памяти, они используют три способа [11], которые уже применялись различными вирусами. Самый простой способ — зарегистрировать программу как одно из приложений, работающих в данный момент. Для этого программа регистрирует свою задачу, окно которой может быть свернутым, свой обработчик системных событий и т,д. Второй способ — вьщелить блок системной памяти ари помощи РРМ1 вызовов и скопировать в нем свой код (вирус : ЬЗЗг). Третий способ — остаться резидентно как ЧхР драйвер :~ЪПпдоив З.хх и Ъйпдоив 95) или как драйвер Ъйпдочз ХТ. Перехват обращений к Файлам производится одним из двух спо":,собов:либоперехватываютсявызовы 1ЫГ21Ь(НооК Ч86 1гй Снап, 'Ое1/Бе1 Ч86 1п1 Чессог, Ое~/Бе1 РМ 1п1 Чес1ог) либо перехваты,:вается системный вызов АР1.
Затем резидентные Ъйпс1о~а вирусы ,:,действуют примерно так же, как и РОБ вирусы: перехватывают -:обращения к файлам и заражают их. Для обнаружения уже имеюЪцейся в памяти резидентной копии используются примерно те ;~ке способы, которые описаны выше, за исключением Чхо виру.:сов. Известные ЧхР вирусы загружаются в память при загрузке ':.Ъйпдо~з.
Для этого они записывают команду запуска в Файл кон:Фигурации%пп$о~в ауз1ет.1п1. Если в этом Файле уже есть коман-,:да запуска вирусного Чхо файла, то вирус не производит по,:вторной регистрации своего Чх0 файла. Макровирусы. Большинство макровирусов можно считать ре.:: зидентными, поскольку они присутствуют в области системных '::.макросов в течение всего времени работы редактора. Они, так же ' как резидентные, загрузочные и файловые вирусы, перехваты; вают системные собьггия и используют их для своего размноже' ния.
К подобным событиям относятся различные системные вы:: зовы, возникающие при работе с документами %~ого и таблица.,:ми Ехсе1 (открытие, закрытие, создание, печать и т.д.), вызов :,пункта меню, нажатие какой-либо клавиши или достижение ': определенного момента времени. Для перехвата событий макро- '.:: вирусы переопределяют один или несколько системных макросов или Функций. При заражении некоторые макровирусы проверяют наличие ::: своей копии в заражаемом объекте и повторно себя не копируют.
:::;Другие макровирусы не делают этого и переписывают свой код : при каждом заражении. Если при этом в заражаемом файле или :.-:: области системных макросов уже определен макрос, имя которо';.. го совпадает с макросом вируса, то такой макрос оказывается . уничтоженным. По данным Международной ассоциации компьютерной безо'; пасности (~ч.1сза.пе1), доля представителей этого класса в общем ;: числе вирусов, циркулирующих по вычислительным системам и :: сетям, составляет 2/3, а по данным лаборатории Касперского, , эта величина составляет порядка 55%. Причин тому несколько.
: Во-первых, это широкое распространение объектов их пораже: ния, т.е. офисных приложений. Сегодня практически нет таких :; людей, которые бы не использовали в своей повседневной рабо; те текстовый процессор, электронные таблицы, систему обра:. ботки базы данных или мастер презентаций. Во-вторых, очень .
низкий уровень встроенной антивирусной защиты перечислен- 225 8 Куприянов 224 ньтх приложений. В-третьих, простота созцания макровирусов. Для того чтобы написать вирус например, для МБ Жогж, достаточно изучить азы языка программирования УВА. Будучи самым простым и доступным среди всех остальных языков, он предоставляет создателям вирусов все необходимые возможности для того, чтобы уничтожить важную информацию и надолго вывести компьютер из строя. В-четвертых, наиболее популярные офисные приложения (в первую очередь из пакета МБ Ой1се), как правило, интегрированы с почтовыми программами (например М~ Оит1оо1с). Это обстоятельство определяет доступ макровирусов л электронной почте — наиболее удобному и быстрому способу распространения. Поэтому макровирусы имеют неограниченныс возможности для молниеносного поражения миллионов компьютеров по всему миру.
Полиморфные вирусы. Обнаружение этих вирусов невозможно (или крайне затруднительно) осуществить при помощи так называемых вирусных масок — участков постоянного кода, специфичных для конкретного вируса 1111. Достигается это двумя основными способами: шифрованием основного кода вируса с непостоянным ключом и случайным набором команд расшифровщика или изменением самого выполняемого кода вируса.
Существуют также другие, достаточно экзотические примеры полиморфизма: ПОЗ вирус ВотпЬег, например, не зашифрован, однако последовательность команд, которая передает управление коду вируса, является полностью полиморфной. Полиморфизм различной степени сложности встречается в вирусах всех типов: от загрузочных и файловых БОБ вирусов до %1пдоьз вирусов и даже макровирусов. Сложность кода служит классификационным признаком полиморфных вирусов.
В настоящее время целью вирусных программ наряду с нанесением максимального ущерба стало получение и контроль доступа к информации (воровство паролей, создание люков в системе защиты вычислительных сетей, получение привилегированного доступа к данным и т.п.). Эти угрозы особенно актуальны для систем, работающих в локальных и глобальных сетях. При этом собственно вирусы занимают менее половины от передаваемых по почтовым каналам вредных и деструктивных данных. Другая половина — это различные программы для несанкционированного доступа (например, троянские программы и 1пгетпе~ черви) 1291.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
