Студопедия

Главная страница Случайная страница

КАТЕГОРИИ:

АвтомобилиАстрономияБиологияГеографияДом и садДругие языкиДругоеИнформатикаИсторияКультураЛитератураЛогикаМатематикаМедицинаМеталлургияМеханикаОбразованиеОхрана трудаПедагогикаПолитикаПравоПсихологияРелигияРиторикаСоциологияСпортСтроительствоТехнологияТуризмФизикаФилософияФинансыХимияЧерчениеЭкологияЭкономикаЭлектроника






Файлові віруси






Файлові віруси при своєму розмноженні тим або іншим способом використовують властивості файлової системи якої-небудь (або яких-небудь) операційної системи. Вони спроможні:

  • різними способами упроваджуються у виконувані файли (найпоширеніший тип вірусів);
  • створювати файли-двійники (компаньйон-віруси);
  • створювати свої копії в різних каталогах;
  • використовувати особливості організації файлової системи (link-віруси).

За способом зараження файлів віруси діляться на:

  • перезаписуючі (overwriting);

· паразитичні (parasitic);

· віруси-компаньйони (companion);

· віруси-посилання (link);

· віруси, що заражають об'єктні модулі (OBJ);

· віруси, що заражають бібліотеки компіляторів (LIB);

· віруси, що заражають початкові тексти програм.

За методом зараження файлових вірусів розрізняють:

Overwriting: Даний метод зараження є найпростішим: вірус записує свій код замість коду файлу, що заражається, знищуючи його вміст. Природно, що при цьому файл перестає працювати і не відновлюється. Такі віруси дуже швидко виявляють себе, оскільки операційна система і додатки досить швидко перестають працювати.

Parasitic: До паразитичних відносяться всі файлові віруси, які при розповсюдженні своїх копій обов'язково змінюють вміст файлів, залишаючи самі файли при цьому повністю або частково працездатними. Основними типами таких вірусів є віруси, що записуються в початок файлів (prepending), в кінець файлів (арpending) і в середину файлів (inserting). У свою чергу, впровадження вірусів в середину файлів відбувається різними методами — шляхом перенесення частини файлу в його кінець або копіювання свого коду в явно невикористовувані
дані файлу (cavity-віруси).

Впровадження вірусу в початок файлу: Відомі два способи упровадження паразитичного файлового вірусу в початок файлу. Перший спосіб полягає в тому, що вірус переписує початок файлу, що заражається, в його кінець, а сам копіюється в місце, що звільнилося. При зараженні файлу другим способом вірус дописує файл, що заражається, до свого тіла. Таким чином, при запуску інфікованого файлу першим керування одержує код вірусу. При цьому віруси, щоб зберегти працездатність програми, або лікують заражений файл, повторно запускають його, чекають закінчення його роботи і знову записуються в його початок (іноді для цього використовується тимчасовий файл, в який записується знешкоджуваний файл), або відновлюють код програми в пам'яті комп'ютера і настроюють необхідні адреси в його тілі (тобто дублюють роботу Ос).

Впровадження вірусу в кінець файлу: Найпоширенішим способом упровадження вірусу у файл є дописування вірусу в його кінець. При цьому вірус змінює початок файлу таким чином, що першими виконуваними командами програми, що містяться у файлі, стають команди вірусу. Для того, щоб отримати управління при старті файлу, вірус коректує стартову адресу програми (адреса точки входу). Для цього вірус проводить необхідні зміни в заголовку файлу.

Впровадження вірусу в середину файлу: Існує декілька методів dпровадження вірусу в середину файлу. В найпростішому з них вірус переносить частину файлу в його кінець або «розсовує» файл і записує свій код в простір, що звільнився. Цей спосіб багато в чому аналогічний методам, перерахованим вище. Деякі віруси при цьому компресують переносимий блок файлу так, щоб довжина файлу після зараження не змінинилась.

Другим є метод «cavity», при якому вірус записується в явно невживані області файлу. Вірус може бути скопійований в незадіяні області заголовку EXE-файлу, в зазори між секціями EXE-файлів або в область текстових повідомлень популярних компіляторів. Існують віруси, що заражають тільки ті файли, які містять блоки, заповнені яким-небудь постійним байтом, при цьому вірус записує свій код замість такого блоку. Крім того, копіювання вірусу в середину файлу може відбутися в результаті помилки вірусу, в цьому випадку файл може бути зіпсовано.

Віруси без точки входу: Окремо слід зазначити досить незначну групу вірусів, що не мають «точки входу» (EPO-віруси — Entry Point Obscuring viruses). До них відносяться віруси, що не змінюють адресу точки старту в заголовку EXE-файлів. Такі віруси записують команду переходу на свій код в яке-небудь місце в середину файлу і одержують управління не безпосередньо при запуску інфікованого файлу, а при виклику процедури, що містить код передачі управління на тіло вірусу. Причому виконуватися ця процедура може украй рідко (наприклад, при виведенні повідомлення про яку-небудь специфічну помилку). В результаті вірус може довготривалий час «спати» всередині файлу, а процедура його ініціювання може спрацювати за певних обмежених умов. Перед тим, як записати в середину файлу команду переходу на свій код, вірусу необхідно вибрати «правильну адресу» у файлі — інакше заражений файл може виявитися зіпсованим. Відомі декілька способів, за допомогою яких віруси визначають такі адреси усередині файлів, наприклад, пошук у файлі послідовності стандартного коду заголовків процедур мов програмування (C/Pascal), дизасемблювання коду файлу або заміна адрес зовнішніх функцій.

Companion: До даної категорії відносяться віруси, що не змінюють інфікованих файлів. Алгоритм роботи цих вірусів полягає в тому, що для файлу, який інфікується заражається, створюється файл-двійник, причому при запуску інфікованого файлу управління одержує саме цей двійник, тобто вірус. До вірусів даного типу відносяться ті з них, які при зараженні перейменовують файл в яке-небудь інше ім'я, запам'ятовують його (для подальшого запуску файлу-оболонки) і записують свій код на диск під ім'ям файлу, що інфікується. Наприклад, файл NOTEPAD.EXE перейменовується в NOTEPAD.EXD, а вірус записується під ім'ям NOTEPAD.EXE. При запуску управління одержує код вірусу, який потім запускає оригінальний NOTEPAD.

Можливе існування і інших типів вірусів-компаньйонів, що використовують деякі, відмінні від викладених вище, оригінальні ідеї або специфічні особливості операційних систем. Зокрема, PATH-компаньйони, які розміщують свої копії в основному катагоге Windows, використовуючи той факт, що цей каталог є першим в переліку змінної (рос: переменная среды окружения) PATH, і файли для запуску Windows перш за все шукатиме саме в ньому. Даними способом самозапуску користуються також багато комп'ютерних мережевий вірусів і троянських програм.

Інші способи зараження: Існують віруси, які жодним чином не пов'язують свою присутність з яким-небудь виконуваним файлом. При розмноженні вони всього лише копіюють свій код в які-небудь каталоги дисків в надії, що ці нові копії будуть коли-небудь запущені користувачем. Іноді ці віруси дають своїм копіям «спеціальні імена», щоб підштовхнути користувача на запуск своєї копії — наприклад, INSTALL.EXE або WINSTART.BAT.

Деякі віруси записують свої копії в архіви (ARJ, ZIP, RAR). Інші записують команду запуску інфікованого файлу в BAT-файли.

Link-віруси також не змінюють фізичного вмісту файлів, проте при запуску інфікованого файлу «примушують» ОС виконати свій код. Цієї мети вони досягають модифікацією необхідних полів файлової системи.


Поделиться с друзьями:

mylektsii.su - Мои Лекции - 2015-2024 год. (0.007 сек.)Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав Пожаловаться на материал