Vírusok megoszlása és munkája (atkuda vírusok, programok fertőzési módjai, struktúra com és
A SO M és EXE programok szerkezete
A COM program a kóddal és az adatokkal kezdődő szakasz része
futtatható paranccsal és legfeljebb 64 KB byte-ot foglal el. Például a
A struktúra rendelkezik COMMAND.SOM parancsfeldolgozó processzorral
MSDOS, legfeljebb 6,22 verziók.
Az EXE programnak sokkal összetettebb szerkezete van. A fájl elején
Az EXE program egy címsor. 28 bájt tartalmaz
# 61623; MZ w - az EXE fájl jele;
# 61623; PartPag - a modulo 512 fájl hosszúsága;
# 61623; PageCnt - fájlhossz 512 bájtos oldalakon;
# 61623; ReloCnt - a beállítási táblázat mérete;
# 61623; HdrSize fejléc mérete;
# 61623; MinMem - minimálisan szükséges memória;
# 61623; MaxMem - maximálisan szükséges memória;
# 61623; Relo-SS a köteg relatív szegmense;
# 61623; ExeSP - a kötegmutató eltolása;
# 61623; A ChkSum a fájl ellenőrzőösszege;
# 61623; ExelP - a belépési pont eltolása;
# 61623; A ReloCS a belépési pont relatív szegmense;
# 61623; TablOff - a beállítási táblázat eltolása;
# 61623; Az átfedés az overlay szegmens száma.
A ReloCS és az ExelP mezők meghatározzák a belépési pont helyét a
program, ExeSP és ReloSS mezők - Stack hely, PartPag mezők és
PageCnt - a program gyökér szegmensének mérete.
A PartPag és a PageCnt kiszámított programmérete nem eshet egybe
valódi
méret
fájlba.
ilyen
a program
hívják
"Szegmentált" vagy "belső átfedések". illetékes
A cím után egy speciális asztalt lehet elhelyezni, pontosan
amelynek helyét a TablOff mező határozza meg. és a méret a területen
amelyeket az operációs rendszer módosított az indításkor
A fertőzés standard módszerei.
A COM program esete. A vírus teste a fájl végéhez tartozik, valahol
Az eredeti példány több (általában három) bájtja
a program kezdete, a helyükön az átmeneti parancsokat a kezdethez
vírus. Amikor a vírus befejezi a szándékát
akció, visszaállítja az eredeti bájtokat a program indításakor és
átirányítja az irányítást.
Az EXE program esete. A vírus testét a fájl végéig, a
A fejléc módosítja a mezőt meghatározó mezők értékeit
a belépési pont és a program mérete (néha még -
a köteg helye). Ennek eredményeként a vezérlő vírus kódot kap.
A vírus végén a fertőzésben tárolt
a megváltozott mezők értékei, az eredetire vált
A vírus működése
Tekintsük a legegyszerűbb boot vírus működésének rendjét,
floppy fertőzést. Amikor bekapcsolja a számítógép vezérlését, az átkerül
egy állandóan tárolt indítóprogram
memória (ROM).
Ez a program teszteli a berendezést és a sikeres befejezést
megpróbálja megtalálni a hajlékonylemez-meghajtót A:
Minden egyes hajlékonylemezt ágazatokhoz és sávokhoz rendelnek, az ágazatokat összekapcsolják
Az ágazatok között számos hivatalos, használt üzem működik
saját szükségleteikre (ezeken az ágazatokban nem található
felhasználói adatok). A szolgáltatási szektorok között érdekes
egy - az úgynevezett. boot szektor (boot szektor).
A boot szektor a floppy lemezről információt tárol -
A felületek száma, a pályák száma, az ágazatok száma és
stb De ez az információ nem érdekes, de egy kis kezdeti program
terhelés (PNZ), melynek maga az operációs rendszer és a
adjon neki irányítást.
Így a normál rendszerindító rendszer a következő:
ПНЗ (ROM) - ПНЗ (lemez) - A RENDSZER
Most tekintse át a vírust. A boot vírusokban két részből áll:
t. n. fej és így tovább. farok. A fark általában üres lehet.
Tegyen egy tiszta lemezt és egy fertőzött számítógépet, amely alatt
egy aktív rezidens vírussal rendelkező számítógép. Ezt egyszer
a vírus észleli, hogy a meghajtóban megfelelő környezet jött létre
A konkrét eset nem írásvédett, és még nem fertőzött
hajlékonylemez, megfertőzni kezd. Flopír fertőzésével a vírus képződik
# 61623; kiválaszthatja a lemez egy bizonyos területét, és hozzáférhetetlenné teszi azt
operációs rendszert, ez a különböző módokon, a legegyszerűbb és leginkább elvégezhető
A hagyományos esetben a vírus által elfoglalt szektorok rossz szektorok
# 61623; másolja a farok és az eredeti
(egészséges) boot szektor;
# 61623; helyettesíti a bootstrap programot a rendszerindító szektorban
(jelen) a fejével;
# 61623; szervezi az irányítás átvitelének láncolatát a rendszer szerint. ezért
Így a vírus vezetője most elsőként kapja meg a kontrollt, a vírust
van beállítva a memóriában, és átirányítja az irányítást az eredetire
boot szektor. A láncban
ПНЗ (ROM) - ПНЗ (lemez) - A RENDSZER
megjelenik egy új link:
PNZ (ROM) - VÍRUS - PNZ (lemez) - SYSTEM
Egy egyszerű butovírus vírus működésének rendszerét figyelembe vettük,
amely a hajlékonylemezek boot ágazatában él. Rendszerint a vírusok képesek
nem csak a hajlékonylemezek indító szektorai, de indíthatóak
merevlemezek szektorai - merevlemezek. Ebben az esetben, ellentétben a floppy lemezek a
Kétféle típusú bootolható sec-
a beérkező bootloader programokkal
kezelése. Amikor a számítógépet a merevlemezről indítja, az első átveszi
a boot program kezelése az MBR-ben (Master Boot Record -
master boot record). Ha a merevlemez többre oszlik
partíciókat, akkor csak az egyiket bootként jelölték meg.
Az MBR rendszerindító programja megtalálja a rendszerindító partíciót
és átadja a vezérlést a rendszerindító programnak
pontját. Az utóbbi kódja megegyezik a kezdeti program kódjával
a szokásos hajlékonylemezeken, és a megfelelő
A boot szektorok csak a paramétertáblázatokban különböznek egymástól. ezért
Két támadó vírus van a merevlemezen
- MBR boot program és bootstrap program in
a rendszerindító lemez rendszerindító szektora.
A vírusfertőzés leírása a leggyakrabban bejegyzett vírusirtó cég. Nem ritka, hogy egy fertőzött fájl-dokumentumot vagy egy Excel táblát egy nagyvállalat kereskedelmi információinak levelezési listáiban fel kell venni a felügyelet miatt. Ebben az esetben nem öt, de több száz vagy akár több ezer előfizető szenved, és ezután fertőzött fájlokat küld az előfizetői több tízezer felhasználónak.
A fájl-kiszolgálók "nyilvános" és elektronikus konferenciák is a vírusok egyik legfontosabb forrásaként szolgálnak. Szinte minden héten van üzenet arról, hogy a felhasználó fertőzte meg számítógépét egy olyan vírussal, amelyet eltávolított a BBS-ből, az ftp szerverről vagy bármely elektronikus konferenciaről.
Abban az esetben, tömeges levelező vírus fájl szerverek ftp / BBS érintett szinte egyszerre lehet több ezer számítógép, de a legtöbb esetben „fektetik» DOS vagy Windows-vírusok terjedési sebessége, amely korszerű körülmények között lényegesen alacsonyabb, mint makro vírusok. Emiatt az ilyen incidensek szinte soha nem érnek véget a tömeges járványok, ami nem mondható el makro vírusok esetében.
A "gyors fertőzés" harmadik módja a helyi hálózatok. Ha nem hozza meg a szükséges védelmi intézkedéseket a fertőzött munkaállomás, amikor bejelentkezik megfertőzni egy vagy több szolgáltató fájlokat a kiszolgálón (abban az esetben, Novell NetWare - LOGIN.COM)
Másnap, amikor a felhasználók bejelentkeznek a hálózathoz, elkezdik a fertőzött fájlokat
A LOGIN.COM szolgáltatásfájl helyett a szerveren telepített különféle szoftverek, szabványos sablondokumentumok vagy az Excel táblázatok is működhetnek, stb.
A szoftver illegális másolata, mint mindig is, az egyik fő "kockázati terület". Gyakran előfordul, hogy a floppy lemezeken és még a CD-ROM-on található kalóz példányok számos vírustípussal fertőzött fájlokat tartalmaznak.
A veszély az oktatási intézményekben telepített számítógépeken is jelen van. Ha az egyik diák hozott a floppy lemezeket a vírus és megfertőzni minden számítógépes oktatás, majd egy másik „járvány”, és hogy a hajlékonylemez összes többi diák dolgozik a számítógépen.
Ugyanez vonatkozik az otthoni számítógépekre is, ha egynél több személy dolgozik rajta. Nem gyakori a diák-fia (vagy lánya), dolgozik egy többfelhasználós számítógép az intézetben, húzza ki a vírus az otthoni számítógépen, aminek következtében a vírus belép a számítógép pápa vállalati hálózaton vagy az anya.
Ritka, de még mindig nagyon reális, ha megfertőz egy számítógépet vírussal, amikor javításra vagy megelőző vizsgálatra kerül sor. A javítóművészek is emberek, és néhányuk általában figyelmen kívül hagyja a számítógépes biztonság elveit. Miután elfelejti, hogy lezárja a írásvédeiem egyik floppy lemezek, a „maestro” meglehetősen gyorsan el fog terjedni a fertőzés a gépeket az ügyfelek, és valószínűleg elveszíti azt (ügyfélkör).
Itt egy általános példa egy vírus program felépítésére. Ez áll
ál-parancsok DOS és szubrutinok - kis belső programok
(az utasítások összetevői a főprogramtól elkülönítve tárolódnak),
egyes speciális funkciókat töltenek be, amikor csak vannak
loc: = keresés (ez)
A findfile egy szubrutin, amely a könyvtár végrehajtható
fájlokat vagy programokat a lemezen, tetszőleges fájlnevet és
a fájl nevét a (ezt) változóhoz rendelheti. A következőben
A programsor a DOS LOAD pszeudo parancsot (letöltést) használja a
Ezáltal a fájl a számítógép operatív memóriájába kerül.
Egy másik alprogram, amelyet csak keresési kereséseknek neveznek
hogy a letöltött program keres egy olyan utasítást, amely lehet
alkalmas helynek a vírus eljuttatásához. amikor
A keresési eljárás ilyen utasítást talál, amelyet meghatároz
a megfelelő sorszámot és hozzárendeli értékként
változó loc. Most minden készen áll a szubrutin vírusra
bejuthat egy önkényesen kiválasztott programba a katalógusból.
A beillesztett szubrutin a kiválasztott utasítást egy másikra cseréli
(például egy szubrutin felhívása). Csere utasítás
átirányítja a vezérlést a parancsot alkotó blokkokba
a vírus alprogram legfontosabb teste, amely csatlakozik a végéhez
programot. Ezután a hozzáadott szubrutin végén,
Egy utasítás, amely visszaadja a "fertőzött" program ellenőrzését
utasítás a beillesztést követően. Így mikor
a vírus szubrutin végrehajtásra kerül, a szubrutin is végrehajtásra kerül
a fertőzött program utasításait. Az eredeti program így működik,
mintha semmi különös nem történt volna. Valójában azonban
a szubrutin-vírus kihasználta az azonnali előnyöket
hogy megragadja az operációs rendszert
másolja a lemezen tárolt másik programot. A megadott példa
Jelenleg a szakértők azonosították a különbözõ technikákat
egymástól ötletekkel és a teljesítmény kifinomultságával.