A polimorf vírusok - polimorfizmus szintje
Van egy részlege polimorf vírusok szinten bonyolultságától függően a kód, amely megtalálható a dekódolás ezek a vírusok. Egy ilyen divízió először javasolta Dr. Alan Solomon, egy idő után Vesselin Bonchev bővítette.
1. szint: vírusok, amelyek egy sor fix kód decryptor a fertőzés során, és választani közülük. Ilyen vírusok „semi-polimorf” és a szintén ismert, mint „oligomorfik” (oligomorphic). Példák: "Cheeba", "Szlovákia", "bálna".
2. szint: decryptor vírus tartalmaz egy vagy több állandó utasítást, az elsődleges rész változó.
3. szint: decryptor tartalmazza a fel nem használt utasítás - "szemét", mint a NOP, CLI, STI, stb
4. szint: decryptor használ cserélhető utasításokat, és módosíthatja a sorrendet (shuffle) utasításokat. A dekódoló algoritmus nem változott.
5. szint: A használata az összes fenti módszerek, az algoritmus visszafejtés instabil, esetleg újra titkosítja a vírus kódját, és még a részleges titkosítása dekódolás.
6. szint: permutating-vírusok. Változás feltétele, hogy a fő vírus kódját - ez blokkokra osztjuk, amely, ha a fertőzött átrendeződik bármilyen sorrendben. A vírus azonban továbbra is működőképes. Az ilyen vírusok lehetnek titkosítva.
A fenti felosztás nem mentes a hátrányai, mivel hajtjuk egyetlen kritérium - a képesség, hogy észleli a vírust a kódot dekódolás a szabványos elfogadás vírusos maszkok:
1. szint észleli a vírust elég, hogy több maszkok
2. szint: detektálás maszkot „karakterek”
3. szint: Detection maszk eltávolítása után instruktsiy- „szemét”
4. szint: maszk különböző változatokban lehetséges kód, azaz
5. szint: képtelen a víruskimutatással maszk
Hiánya egy ilyen szétválás demonstráljuk a vírus szintjét 3 polimorf, amely az úgynevezett - „3. szint”. Ez a vírus, amely az egyik legkifinomultabb polimorf vírusok szerint a magasabb osztály esik Level 3, mert van egy állandó algoritmus rasshafrovki előzi nagyszámú komand- „szemetet”. Azonban a vírus generáló algoritmus a „szemetet” tökélyre: a dekódolás találkozhatunk szinte minden i8086 processzor utasításokat.
Ha teszünk egy osztály szintje közötti szempontjából antivírus rendszer alkalmazásával automatikus megfejtéséhez vírus kódját (emulátor), a felosztás szintje függ a bonyolultsága a vetélkedés a vírus kódját. Lehetséges, hogy a vírusokat és más módszerekkel, például dekódoló elemi matematikai törvények, stb
Ezért úgy tűnik, hogy nekem több objektív osztály, amely magában foglalja a más paraméter mellett a vírus maszk kritériumot.
1. A bonyolultság a polimorf kód (százalék az összes processzor utasításokat, amelyek felmerülhetnek a dekódolás)
2. Az anti-emulátor trükkök
3. Sorozatos a dekódoló algoritmus
4. perzisztenciahossz decryptor
Nem szeretném bemutatni ezeket a pontokat részletesebben, ennek eredményeként ez egyedi figyelmét vírusírók létrehozni egyfajta szörnyek.
Minden téma ebben a szakaszban:
Az algoritmus a boot vírus
Szinte minden boot vírusok laknak. Ők végre a számítógép memóriájában, amikor elindítja a fertőzött lemezről. Ebben az esetben a boot betöltő beolvassa a tartalmát az első szektor a lemez, az együttes
fájl vírusok
1. Módszerek fertőzés 2. Egyéb megjegyzések
Módszerek a fertőzés -> A felülírás
Ez a fertőzés a módszer a legegyszerűbb: a vírus írja a kód helyett a kódot a fertőzött fájlt, tönkretéve annak tartalmát. Természetesen, amikor a fájl nem működik, és rekonstruált
Módszerek a fertőzés -> Vírusok nélkül belépési pont
Különleges figyelmet egy viszonylag kis csoportja a vírusok, amelyek nem rendelkeznek „hozzáférési pont” (EPO-vírusok - a belépési pont elhomályosulás vírusok). Ezek közé tartoznak a vírusok, nem rögzíti parancsokat sáv
Módszerek a fertőzés -> File férgek
Fájl férgek (worms) vannak, bizonyos értelemben egyfajta társ vírusok, de nem kapcsolja össze a jelenlétük bármilyen futtatható fájlt. Úgy szaporodnak
Módszerek a fertőzés -> Link-vírusok
Link-vírusok, valamint a társ vírusok nem változik a fizikai fájlok tartalmát, de ha egy fertőzött fájl „kényszerítette”, hogy teljesítse OS kódot. Ezt a célt elérik módosítása
Módszerek a fertőzés -> obj-, LIB-vírusok és vírusszerű forráskód
Vírusok fertőzik fordító könyvtárak, tárgymodult és a forráskód, nagyon egzotikus és szinte gyakori. Van egy tucat. Vírusok fertőzik obj- és LIB-
A bevezetés a vírus DOS COM- és EXE-fájl
DOS végrehajtható bináris a COM vagy EXE formátumú, különböző címeket és így kezdeni a programok végrehajtását. Fájlkiterjesztés ( „.com” vagy „.EXE”) nem mindig
primitív maszkolás
Amikor a fertőzött fájlt, a vírus képes egy sor olyan intézkedést, maszkolás és a gyorsuló terjedése. Az ilyen intézkedések közé a feldolgozási tulajdonság csak olvasható, eltávolítása előtt fertőzött
a terjedési sebesség
Beszél a fájl vírusokat, meg kell jegyezni, a vonal, mint a terjedési sebessége. Minél gyorsabb a vírus terjed, annál valószínűbb előfordulása egy járvány a vírus. A lassabb versenyek
Az algoritmus a vírus fájl
Miután megkapta ellenőrzés, a vírus a következő lépéseket végzi (a listát a leggyakoribb tevékenység a vírus, ha fut, egy listát adott vírus lehet kitölteni, a tételeket lehet változtatni
Makróvírusok -> Word / Excel / Office97-vírusok. Hogyan működik
Amikor dolgozik egy Word dokumentumot változat 6. és 7. végez különféle műveleteket: dokumentum megnyitása, mentése, nyomtatása, burkolatok, stb Ebben az esetben a Word megkeresi és végrehajtja a megfelelő „beépített mák
Makróvírusok -> Az algoritmus a Word makró vírusok
A legtöbb híres Szó-vírus (verzió 6., 7. és Word97) futtatásakor transzfer a kód (makrók) a globális makrók a dokumentumnak (az „Általános” makrók), erre az általuk használt kóma
Makróvírusok -> Az algoritmus a vírus az Access
Mivel Access része a Office97 Pro csomagot, a vírusok Access ugyanazok makrók Visual Basic nyelven, valamint egyéb vírusok fertőzik Office97 alkalmazásokat. Azonban a falu
A polimorf vírusok -> polimorf transcribers
A legegyszerűbb példa részlegesen polimorf dekódolás a következő sor parancs, mint amelynek eredményeként nem egyetlen bájtját vírus kódját és a dekódoló nem állandó
A polimorf vírusok -> Változás a végrehajtható kód
A leggyakrabban használt ilyen módon a polimorfizmus makró vírusok létrehozása során új példányait véletlenszerűen változó nevét a változók be üres sorokat, vagy módosítsa a
Stealth vírusok -> boot vírusok
Stealth vírusok, hogy elrejtse a kódot két alapvető módon. Ezek közül az első az, hogy a vírus elfogja parancsokat olvasni a fertőzött szektor (ok 13h) és helyettesítő
Stealth vírusok -> File vírusok
Bolshinctvo fájl lopakodó vírusok ugyanazt a technikát, hogy a fent felsorolt: vagy DOS-lefoglaló felhívja a fájlok elérése (INT 21h) vagy átmenetileg gyógyítja a fájlt, amikor megnyitja, és fertőzik a n
Stealth vírusok -> Makro vírusok
Végrehajtása algoritmusok lopakodó makró vírus talán a legegyszerűbb feladat - éppen elég letiltani hívó Fájl / Sablonok vagy az Eszközök / Makró menüben. Ezt úgy érjük el, eltávolítás
Resident vírusok -> DOS-vírusok
DOS kétféle módon lehet létrehozni állampolgársággal modulok vezető megnevezések CONFIG.SYS, és segítségével KEEP funkció (INT 21h, AH = 31h vagy 27h INT). Sok fájl vírusok ma
Resident vírusok -> Windows-vírusok
Elhagyni végrehajtható kódot a Windows memória, három módja van, mind a három módszer (kivéve Windows NT) óta használják a különböző vírusok. A legegyszerűbb spo
Egyéb „rossz program” -> Tervezett-vírusok
Ezek a vírusok olyan programok, amelyek első pillantásra egy teljes vírus, de nem tudja reprodukálni hibák miatt. Például egy vírus, hogy míg megfertőző „elfelejti
Egyéb „rossz program” -> tervezők vírusok
Vírus Constructor - egy program a termelés az új vírusok. Ismert tervezők vírusok a DOS, Windows és makro vírusok. Ez lehetővé teszi, hogy létrehoz eredeti t
Egyéb „rossz program” -> A polimorf generátorok
A polimorf generátorok, valamint a tervezők a vírusok nem vírusok a valódi értelemben vett, mert algoritmus nem határozza reproduktív funkciói, vagyis nyitó, záró és rögzítés
IRC-Worms -> IRC-kliensek
Futtató számítógépeken MS Windows leggyakoribb ügyfelek mIRC és PIRCH. Ez nem túl terjedelmes, de meglehetősen bonyolult szoftver termékek, amelyek amellett, hogy alapvető szolgáltatásokat nyújtó IR
Az IRC férgek -> Script férgek
Mint kiderült, erős és kiterjedt rendszer IRC kliens parancsok lehetővé alapján szkripteket hozzon létre egy számítógépes vírus továbbítani a kód számítógépeken IRC hálózati felhasználók, az úgynevezett
IRC-Worms -> Win95.Fono
Veszélyes memória rezidens multipartite polimorf vírus. Felhasználás mIRC egyik módja, hogy elterjedt: felfogja a Windows rendszer eseményeket és a file MIRC32.EXE kezdeni aktiviz
IRC-Worms -> pIRCH.Events
Az első ismert PIRCH-féreg. Elküldi magát minden kapcsolódik a csatorna felhasználói. Kulcsszó végez különböző műveleteket, például: csapat „.query”
hálózati vírusok
A NIC terjedő vírusok az ő aktív használata protokollok és képességeit a helyi és a globális hálózatok. Az alapelv a hálózat képes-e a vírus