в чем особенности резидентных вирусов
В чем особенности резидентных вирусов
Первый резидентный антивирус
Виды резидентных вирусов
Вот например, DOS-вирусы. Эти вирусы после выделения блока памяти копируют в него своей код и переопределяют одно или несколько прерываний, необходимых им для поиска заражаемых файлов, выполнения деструктивных действий или звуковых и видеоэффектов. Создание этих резидентных моделей происходит двумя легальными путями: драйверами, которые указываются в файле CONFIG.SYS, и используя функцию KEEP. Но все-таки большинство современных файловых вирусов с целью маскировки используют другой способ –специальную обработку системных областей, которые управляют процессом распределением памяти. Для этого они выделяют свободный участок памяти и тут же помечают его как занятый (для операционной системы). После этого всего благополучно переписывают туда свою копию. И не важно, что находилось в этом месте. Файлы перестают читаться, а восстановить при помощи специальных программ вовсе невозможно.
А еще одной разновидностью являются Windows-вирусы.
Самый простой и легкий способ создания вируса – это просто зарегистрировать вирус как одно из приложений, функционирующих в данный момент. С этой целью вирус регистрирует свою задачу, окно зачастую скрывается, регистрирует все свои компоненты и т.д.
Еще один неплохой способ, заслуживающий вашего дражайшего внимания, – выделить отдельный блок системной памяти компьютера при помощи специальных DPMI-вызовов и после этого скопировать в него свой вирусный код.
Ну и наконец, третий способ — на протяжении всей активности остаться резидентно или как драйвер отдельный Windows NT.
В чем особенности резидентных вирусов
Сегодня массовое применение персональных компьютеров, к сожалению, оказалось связанным с появлением самовоспроизводящихся программ-вирусов, препятствующих нормальной работе компьютера, разрушающих файловую структуру дисков и наносящих ущерб хранимой в компьютере информации.
Несмотря на принятые во многих странах законы о борьбе с компьютерными преступлениями и разработку специальных программных средств защиты от вирусов, количество новых программных вирусов постоянно растет. Это требует от пользователя персонального компьютера знаний о природе вирусов, способах заражения вирусами и защиты от них [5].
Программа, внутри которой находится вирус, называется зараженной. С началом работы такой программы вирус получает доступ ко всей операционной системе. Вирус находит и заражает другие программы, а также выполняет какие-либо вредоносные действия. Например, портит файлы или таблицу размещения файлов на диске, занимает оперативную память и т.д. После того, как вирус выполнит свои действия, он передает управление той программе, в которой он находится, и она работает как обычно. Тем самым внешне работа зараженной программы выглядит так же, как и незараженной. Поэтому далеко не сразу пользователь узнаёт о присутствии вируса в машине [1].
К числу наиболее характерных признаков заражения компьютера вирусами относятся следующие:
В настоящее время известно более 50000 программных вирусов, которые классифицируют по следующим признакам:
Любой вирус, независимо от принадлежности к определенным классам, должен иметь три функциональных блока: блок заражения (распространения), блок маскировки и блок выполнения деструктивных действий. Разделение на функциональные блоки означает, что к определенному блоку относятся команды программы вируса, выполняющие одну из трех функций, независимо от места нахождения команд в теле вируса.
После передачи управления вирусу, как правило, выполняются определенные функции блока маскировки. Например, осуществляется расшифровка тела вируса. Затем вирус осуществляет функцию внедрения в незараженную среду обитания. Если вирусом должны выполняться деструктивные воздействия, то они выполняются либо безусловно, либо при выполнении определенных условий.
Завершает работу вируса всегда блок маскировки. При этом выполняются, например, следующие действия: шифрование вируса (если функция шифрования реализована), восстановление старой даты изменения файла, восстановление атрибутов файла, корректировка таблиц ОС и др.
Последней командой вируса выполняется команда перехода на выполнение зараженных файлов или на выполнение программ ОС.
Для удобства работы с известными вирусами используются каталоги вирусов. В каталог помещаются следующие сведения о стандартных свойствах вируса: имя, длина, заражаемые файлы, место внедрения в файл, метод заражения, способ внедрения в ОП для резидентных вирусов, вызываемые эффекты, наличие (отсутствие) деструктивной функции и ошибки. Наличие каталогов позволяет при описании вирусов указывать только особые свойства, опуская стандартные свойства и действия [4].
Знание классификации компьютерных вирусов позволяет оценить степень угрозы, метод борьбы и уровень необходимой защиты ПО от вредоносных воздействий.
Резидентные вирусы
При инфицировании файлов нерезидентные и некоторые резидентные вирусы ищут на диске (дисках) эти файлы при помощи функций DOS FindFirst и FindNext (INT 21h, AH=11h,12h,4Eh,4Fh). Резидентные вирусы используют более широкий список функций DOS, при обращении к которым происходит заражение файла. Фактически в этом списке присутствуют все функции, по значениям входных или выходных параметров которых можно определить имя файла, к которому идет обращение (к таким параметрам относятся значения соответствующих регистров или областей памяти). В результате к «вирусоопасным» функциям прерывания 21h относятся функции выполнения (EXEC, AX=4B00), загрузки в память (AH=4Bh), поиска (FindFirst и FindNext, AH=11h,12h,4Eh,4Fh), создания (Create, AH=3Ch), открытия (Open, AH=3Dh), закрытия (Close, AH=3Eh), изменения атрибутов (ChMode, AH=43h), переименования (Rename, AH=56h) и некоторые другие функции работы с файлами.
Некоторые резидентные файловые вирусы (как правило, вирусы, созданные при помощи конструкторов типа VCL и PS-MPC) определяют свою TSR-копию некорректно и копируют себя в оперативную память при каждом запуске зараженного файла. Естественно, что в этом случае компьютер либо сразу зависает, либо через некоторое время перестает выполнять программы по причине нехватки свободной памяти.
Для того чтобы оставить выполняемый код в памяти Windows, существует три способа, причем все три способа (за исключением Windows NT) уже применялись различными вирусами.
Для обнаружения уже присутствующей в памяти резидентной копии используются примерно те же способы, что описаны выше, за исключением VxD-вирусов. Известные VxD-вирусы загружаются в память при загрузке Windows. Для этого они записывают команду запуска в файл конфигурации Windows SYSTEM.INI. Если в этом файле уже есть команда запуска вирусного VxD-файла, то вирус не производит повторной регистрации своего VxD-файла.
Большинство макро-вирусов можно считать резидентными, поскольку они присутствуют в области системных макросов в течение всего времени работы редактора. Они, так же, как резидентные загрузочные и файловые вирусы, перехватывают системные события и используют их для своего размножения. К подобным событиям относятся различные системные вызовы, возникающие при работе с документами Word и таблицами Excel (открытие, закрытие, создание, печать и т.д.), вызов пункта меню, нажатие на какую-либо клавишу или достижение какого-либо момента времени. Для перехвата событий макро-вирусы переопределяют один или несколько системных макросов или функций.
При заражении некоторые макро-вирусы проверяют наличие своей копии в заражаемом объекте и повторно себя не копируют. Другие макро-вирусы не делают этого и переписывают свой код при каждом заражении. Если при этом в заражаемом файле или области системных макросов уже определен макрос, имя которого совпадает с макросом вируса, то такой макрос оказывается уничтоженным.
Компьютерная газета. Статья была опубликована в номере 32 за 1999 год в рубрике безопасность :: разное
информатика
Лекции
1. Введение
ИНФОРМАЦИЯ И ЕЕ РОЛЬ В СОВРЕМЕННОМ ОБЩЕСТВЕ.
ИНФОРМАТИКА- НАУКА, ИЗУЧАЮЩАЯ СПОСОБЫ АВТОМАТИЗИРОВАННОГО СОЗДАНИЯ, ХРАНЕНИЯ, ОБРАБОТКИ, ИСПОЛЬЗОВАНИЯ, ПЕРЕДАЧИ И ЗАЩИТЫ ИНФОРМАЦИИ.
ИНФОРМАЦИЯ – ЭТО НАБОР СИМВОЛОВ, ГРАФИЧЕСКИХ ОБРАЗОВ ИЛИ ЗВУКОВЫХ СИГНАЛОВ, НЕСУЩИХ ОПРЕДЕЛЕННУЮ СМЫСЛОВУЮ НАГРУЗКУ.
В развитых странах большинство работающих заняты не в сфере производства, а в той или иной степени занимаются обработкой информации. Поэтому философы называют нашу эпоху постиндустриальной. В 1983 году американский сенатор Г.Харт охарактеризовал этот процесс так: «Мы переходим от экономики, основанной на тяжелой промышленности, к экономике, которая все больше ориентируется на информацию, новейшую технику и технологию, средства связи и услуги..»
2. КРАТКАЯ ИСТОРИЯ РАЗВИТИЯ ВЫЧИСЛИТЕЛЬНОЙ ТЕХНИКИ.
Вся история развития человеческого общества связана с накоплением и обменом информацией (наскальная живопись, письменность, библиотеки, почта, телефон, радио, счеты и механические арифмометры и др.). Коренной перелом в области технологии обработки информации начался после второй мировой войны.
В вычислительных машинах первого поколения основными элементами были электронные лампы. Эти машины занимали громадные залы, весили сотни тонн и расходовали сотни киловатт электроэнергии. Их быстродействие и надежность были низкими, а стоимость достигала 500-700 тысяч долларов.
Появление более мощных и дешевых ЭВМ второго поколения стало возможным благодаря изобретению в 1948 году полупроводниковых устройств- транзисторов. Главный недостаток машин первого и второго поколений заключался в том, что они собирались из большого числа компонент, соединяемых между собой. Точки соединения (пайки) являются самыми ненадежными местами в электронной технике, поэтому эти ЭВМ часто выходили из строя.
В ЭВМ третьего поколения (с середины 60-х годов ХХ века) стали использоваться интегральные микросхемы (чипы)- устройства, содержащие в себе тысячи транзисторов и других элементов, но изготовляемые как единое целое, без сварных или паяных соединений этих элементов между собой. Это привело не только к резкому увеличению надежности ЭВМ, но и к снижению размеров, энергопотребления и стоимости (до 50 тысяч долларов).
История ЭВМ четвертого поколения началась в 1970 году, когда ранее никому не известная американская фирма INTEL создала большую интегральную схему (БИС), содержащую в себе практически всю основную электронику компьютера. Цена одной такой схемы (микропроцессора) составляла всего несколько десятков долларов, что в итоге и привело к снижению цен на ЭВМ до уровня доступных широкому кругу пользователей.
СОВРЕМЕННЫЕ КОМПЬТЕРЫ- ЭТО ЭВМ ЧЕТВЕРТОГО ПОКОЛЕНИЯ, В КОТОРЫХ ИСПОЛЬЗУЮТСЯ БОЛЬШИЕ ИНТЕГРАЛЬНЫЕ СХЕМЫ.
6.ПРЕДСТАВЛЕНИЕ ИНФОРМАЦИИ В КОМПЬЮТЕРЕ И ЕЕ ОБЪЕМ.
ЛЮБОЕ СООБЩЕНИЕ НА ЛЮБОМ ЯЗЫКЕ СОСТОИТ ИЗ ПОСЛЕДОВАТЕЛЬНОСТИ СИМВОЛОВ- БУКВ, ЦИФР, ЗНАКОВ. Действительно, в каждом языке есть свой алфавит из определенного набора букв (например, в русском- 33 буквы, английском- 26, и т.д.). Из этих букв образуются слова, которые в свою очередь, вместе с цифрами и знаками препинания образуют предложения, в результате чего и создается текстовое сообщение. Не является исключением и язык на котором «говорит» компьютер, только набор букв в этом языке является минимально возможным.
В КОМПЬЮТЕРЕ ИСПОЛЬЗУЮТСЯ 2 СИМВОЛА- НОЛЬ И ЕДИНИЦА (0 и 1), АНАЛОГИЧНО ТОМУ, КАК В АЗБУКЕ МОРЗЕ ИСПОЛЬЗУЮТСЯ ТОЧКА И ТИРЕ. Действительно, закодировав привычные человеку символы (буквы, цифры, знаки) в виде нулей и единиц (или точек и тире), можно составить, передать и сохранить любое сообщение.
ЭТО СВЯЗАНО С ТЕМ, ЧТО ИНФОРМАЦИЮ, ПРЕДСТАВЛЕННУЮ В ТАКОМ ВИДЕ, ЛЕГКО ТЕХНИЧЕСКИ СМОДЕЛИРОВАТЬ, НАПРИМЕР, В ВИДЕ ЭЛЕКТРИЧЕСКИХ СИГНАЛОВ. Если в какой-то момент времени по проводнику идет ток, то по нему передается единица, если тока нет- ноль. Аналогично, если направление магнитного поля на каком-то участке поверхности магнитного диска одно- на этом участке записан ноль, другое- единица. Если определенный участок поверхности оптического диска отражает лазерный луч- на нем записан ноль, не отражает- единица.
ОБЪЕМ ИНФОРМАЦИИ, НЕОБХОДИМЫЙ ДЛЯ ЗАПОМИНАНИЯ ОДНОГО ИЗ ДВУХ СИМВОЛОВ-0 ИЛИ 1, НАЗЫВАЕТСЯ 1 БИТ (англ. binary digit- двоичная единица). 1 бит- минимально возможный объем информации. Он соответствует промежутку времени, в течение которого по проводнику передается или не передается электрический сигнал, участку поверхности магнитного диска, частицы которого намагничены в том или другом направлении, участку поверхности оптического диска, который отражает или не отражает лазерный луч, одному триггеру, находящемуся в одном из двух возможных состояний.
Итак, если у нас есть один бит, то с его помощью мы можем закодировать один из двух символов- либо 0, либо 1.
3 бита- 8 вариантов;
Продолжая дальше, получим:
4 бита- 16 вариантов,
7 бит- 128 вариантов,
8 бит- 256 вариантов,
9 бит- 512 вариантов,
10 бит- 1024 варианта,
В обычной жизни нам достаточно 150-160 стандартных символов (больших и маленьких русских и латинских букв, цифр, знаков препинания, арифметических действий и т.п.). Если каждому из них будет соответствовать свой код из нулей и единиц, то 7 бит для этого будет недостаточно (7 бит позволят закодировать только 128 различных символов), поэтому используют 8 бит.
ДЛЯ КОДИРОВАНИЯ ОДНОГО ПРИВЫЧНОГО ЧЕЛОВЕКУ СИМВОЛА В КОМПЬЮТЕРЕ ИСПОЛЬЗУЕТСЯ 8 БИТ, ЧТО ПОЗВОЛЯЕТ ЗАКОДИРОВАТЬ 256 РАЗЛИЧНЫХ СИМВОЛОВ.
СТАНДАРТНЫЙ НАБОР ИЗ 256 СИМВОЛОВ НАЗЫВАЕТСЯ ASCII ( произносится «аски», означает «Американский Стандартный Код для Обмена Информацией»- англ. American Standart Code for Information Interchange).
ОН ВКЛЮЧАЕТ В СЕБЯ БОЛЬШИЕ И МАЛЕНЬКИЕ РУССКИЕ И ЛАТИНСКИЕ БУКВЫ, ЦИФРЫ, ЗНАКИ ПРЕПИНАНИЯ И АРИФМЕТИЧЕСКИХ ДЕЙСТВИЙ И Т.П.
КАЖДОМУ СИМВОЛУ ASCII СООТВЕТСТВУЕТ 8-БИТОВЫЙ ДВОИЧНЫЙ КОД, НАПРИМЕР:
ОБЪЕМ ИНФОРМАЦИИ, НЕОБХОДИМЫЙ ДЛЯ ЗАПОМИНАНИЯ ОДНОГО СИМВОЛА ASCII НАЗЫВАЕТСЯ 1 БАЙТ.
Очевидно что, поскольку под один стандартный ASCII-символ отводится 8 бит,
Остальные единицы объема информации являются производными от байта:
1 КИЛОБАЙТ = 1024 БАЙТА И СООТВЕТСТВУЕТ ПРИМЕРНО ПОЛОВИНЕ СТРАНИЦЫ ТЕКСТА,
1 МЕГАБАЙТ = 1024 КИЛОБАЙТАМ И СООТВЕТСТВУЕТ ПРИМЕРНО 500 СТРАНИЦАМ ТЕКСТА,
1 ГИГАБАЙТ = 1024 МЕГАБАЙТАМ И СООТВЕТСТВУЕТ ПРИМЕРНО 2 КОМПЛЕКТАМ ЭНЦИКЛОПЕДИИ,
1 ТЕРАБАЙТ = 1024 ГИГАБАЙТАМ И СООТВЕТСТВУЕТ ПРИМЕРНО 2000 КОМПЛЕКТАМ ЭНЦИКЛОПЕДИИ.
СКОРОСТЬ ПЕРЕДАЧИ ИНФОРМАЦИИ ПО ЛИНИЯМ СВЯЗИ ИЗМЕРЯЕТСЯ В БОДАХ.
В частности, если говорят, что пропускная способность какого-то устройства составляет 28 Килобод, то это значит, что с его помощью можно передать по линии связи около 28 тысяч нулей и единиц за одну секунду.
7. СЖАТИЕ ИНФОРМАЦИИ НА ДИСКЕ
ИНФОРМАЦИЮ НА ДИСКЕ МОЖНО ОБРАБОТАТЬ С ПОМОЩЬЮ СПЕЦИАЛЬНЫХ ПРОГРАММ ТАКИМ ОБРАЗОМ, ЧТОБЫ ОНА ЗАНИМАЛА МЕНЬШИЙ ОБЪЕМ.
Сжатие информации используют, если объем носителя информации недостаточен для хранения требуемого объема информации или информацию надо послать по электронной почте
Программы, используемые при сжатии отдельных файлов называются архиваторами. Эти программы часто позволяют достичь степени сжатия информации в несколько раз.
Аннотация
В этой книге вы найдете практически всю информацию, необходимую для квалифицированной борьбы с компьютерными вирусами в среде операционных систем MS-DOS, Microsoft Windows, IBM OS/2, Novell NetWare. Мы постарались обобщить громадный опыт, накопленный сотрудниками АО “ДиалогНаука” в этой области, делая упор на практические рекомендации.
Книга предназначена как для начинающих пользователей персональных компьютеров, так и для тех, кто уже обладает достаточным опытом работы. В ней вы найдете методики борьбы с вирусами, описание приемов проведения антивирусной профилактики с помощью специально предназначенных для этого средств, описание наиболее распространенных вирусов и многое другое.
Введение
Персональные компьютеры получают все большее и большее распространение, внедряясь во все новые сферы человеческой деятельности. Этому способствует постоянное и устойчивое снижение стоимости компьютеров, появление удобных в работе программ с дружественным интерфейсом, всемерное развитие глобальных компьютерных сетей, которые предоставляют доступ к неограниченным запасам информации.
Надежность аппаратного обеспечения компьютерных систем стала достаточно высока, поэтому теперь человек передоверяет компьютерам решение многих жизненно важных задач. Пользователям современных компьютеров незнакомы проблемы, связанные со сбоями дисковых систем, занимающих целые комнаты в вычислительных центрах или другого столь же “компактного” оборудования ЭВМ серии ЕС.
Однако существует и другая опасность, подстерегающая даже высоконадежные резервированные компьютерные системы. Это так называемые компьютерные вирусы, которые есть ни что иное, как программы, специально предназначенные для того, чтобы нарушать нормальную работу компьютерных систем.
Коварность вирусов не знает границ, а вред, который они могут принести в крупной компьютерной системе, поражает воображение. Не зря во многих странах создание и распространение вирусов преследуется по закону как уголовное преступление. Представьте себе, какие могут быть последствия потери информации в крупном банке, медицинском учреждении или нарушения работы военной компьютерной системы. А между тем подобные случаи уже возникали в ряде стран.
Что же можно противопоставить этой более чем реальной угрозе?
Как и в борьбе с обычными вирусами, в борьбе с компьютерными вирусами применяется профилактика, диагностика и лечение.
Каждый из нас с детства знает, что перед едой нужно мыть руки. Эта нехитрая профилактическая мера может спасти вас от такого, например, заболевания, как холера. Когда вы работаете с персональным компьютером, также необходимо принимать ряд несложных профилактических мер, направленных на предупреждение вирусного вторжения. Тщательно соблюдая элементарные меры безопасности, можно сберечь немало времени и денег.
Для диагностики (обнаружения вирусов) обычно используют специальные программы, которые пользователи часто называют антивирусами (хотя есть более тонкая классификация).
Регулярная диагностика имеет большое значение, так как чем раньше обнаружен вирус, тем больше вероятность успеха лечения (все, как и с обычными вирусами). Дело в том, что компьютерные вирусы делают свое черное дело не сразу, а с некоторой задержкой, необходимой на распространение. Чем раньше будет обнаружен вирус, тем легче его обезвредить.
Что касается лечения компьютера, зараженного вирусами, то оно не всегда возможно. Лечение также выполняется при помощи специальных антивирусных программ, однако успех этой операции зависит от многих факторов. В частности, он зависит от того, насколько далеко зашли вредоносные действия вирусов.
Применение антивирусных программ не всегда эффективно. Вы должны уметь ими пользоваться, как и обычными лекарствами. Переписав у знакомого или из электронной доски объявлений пару антивирусных программ, многие ограничиваются их ежедневным запуском. Успокаивая себя отсутствием предупреждающих сообщений о появлении вирусов, такие пользователи бывают неприятно поражены, когда взявшийся “из неоткуда” вирус уничтожает на диске что-нибудь очень нужное.
Причина этого заключается в том, что в мире ежедневно создаются новые вирусы. Некоторые из этих вирусов используют изощренные приемы маскировки, затрудняющие их обнаружение. Поэтому старые версии антивирусных программ оказываются бессильными.
Нам хотелось бы также избавить вас от излишней “вирусофобии”. Иногда вирусам приписывают фантастические возможности. Услышав о гипнотизирующих и зомбирующих вирусах, бедный пользователь в страхе шарахается от компьютера или надевает резиновые перчатки, вставляя дискету. Не надо этого делать! Во-первых, перчатки все равно не помогут, а во-вторых. впрочем, может быть завтра такой вирус появится и на самом деле.
Вы узнаете о том, как правильно выполнять антивирусную профилактику отдельных компьютеров и локальный сетей компьютеров, научитесь пользоваться самыми современными антивирусными средствами, причем не только программными, но и аппаратными.
Так как раннее обнаружение вирусов увеличивают шансы на успех, мы приведем соответствующие методики и рекомендации, в частности, мы расскажем о том, как обнаружить вирусы-невидимки, маскирующие свое присутствие в системе.
Для тех, кто пользуется антивирусными средствами АО “ДиалогНаука”, есть возможность получения самых последних версий антивирусных программ через модем. Поэтому мы расскажем о том, как пользоваться электронной доской BBS, которая создана специально для подписчиков антивирусного комплекта “ДиалогНаука”.
Отдельная глава книги посвящена борьбе с вирусами в локальных сетях персональных компьютеров, получивших повсеместное распространение. Плохо защищенная локальная сеть представляет собой как раз ту “питательную среду”, в которой компьютерные вирусы размножаются особенно быстро и где они могут нанести наибольший вред. Мы приведем конкретные рекомендации для различных сетевых операционных систем, которые предназначены для пользователей сети и системных администраторов.
Для тех из вас, кто интересуется проблемой вирусов глубже, мы расскажем о наиболее слабых местах операционных систем, которые служат объектом нападения вирусов. Мы также расскажем о некоторых приемах восстановления информации после вирусных атак, которые могут быть рекомендованы только для квалифицированных пользователей или системных программистов.
Благодарности
Мы приносим свою искреннюю благодарность всем, кто помогал нам писать эту книгу и надеемся, что она станет серьезной поддержкой пользователям компьютеров в борьбе с вирусами.
В первую очередь мы признательны сотрудникам АО “ДиалогНаука”, в тесном контакте с которыми создавалась книга:
Кроме того, мы благодарим Абрамкина Алексея Михайловича за прекрасные рисунки, которые он сделал для нашей книги, Фролову Ольгу Викторовну, ставшую одной из первых читателей, корректора Кустова В. С. и сотрудников издательского отдела АО “Диалог-МИФИ” Голубева О. А., Дмитриеву Н. В., Виноградову Е. К. и Кузьминову О. А.
Как связаться с авторами
Вы можете передать нам свои замечания и предложения по содержанию этой и других наших книг через электронную почту: