Зараженная программа
Cтраница 1
Зараженные программы ( или их копии) могут передаваться через дискеты или по компьютерным сетям на другие компьютеры, что усугубляет распространение вируса. Кроме того, потенциально опасной является практика использования одного компьютера несколькими пользователями. Опасность существенно возрастает при наличии на компьютере жесткого диска, на котором хранятся программы, используемые одновременно несколькими людьми. [1]
Содержимое зараженной программы обычно изменено таким образом, чтобы при ее запуске, запускалась не сама программа, а вирус. После того, как вирус запущен, он различными способами ищет свою жертву и изменяет программу-жертву путем добавления своей собственной копии в тело жертвы. Если вирус прицепляется в конец программы-жертвы, то он изменяет ее содержимое, чтобы при запуске программы-жертвы опять выполнялся бы вирус. После того, как жертва найдена и заражена, вирус запускает ту программу, которая и должна была быть запущена с самого начала. [2]
Программы-доктора применяются для восстановления зараженных программ, если ее копий нет в архиве, но они не всегда лечат правильно. Доктора-ревизоры обнаруживают нападение вируса и лечат зараженные программы, причем контролируют правильность лечения. [3]
Код вируса может быть вставлен в начало зараженной программы. При вставке в начало файла вирус переписывает первые блоки ( или все тело) зараженной программы в ее конец. Поэтому до передачи управления зараженному модулю, вирус должен предварительно переписать перемещенные блоки программы на первоначальное место, переместив часть своего кода таким образом, чтобы она не была затерта. [4]
Еще один способ распространения вирусов заключается в публикации зараженной программы в одной из конференций USENET или на BBS. Кроме того, автор вируса может создать web - страницу, для просмотра которой требуется специальный плагин ( plug-in, сменный программный модуль), и тут же предложить загрузить этот плагин, который будет заражен вирусом. [5]
Многие вирусы устроены так, что при запуске зараженной программы они остаются постоянно ( точнее, до перезагрузки DOS) в памяти компьютера и время от времени заражают программы. Кроме того, зараженные программы с данного компьютера могут быть перенесены с помощью дискет или по локальной сети на другие компьютеры. [6]
Существуют также специальные программы удаления конкретного вируса в зараженных программах. Такие программы называются программами-фагами. Те файлы, которые не удалось восстановить, как правило, считаются неработоспособными и удаляются. [7]
 |
Исполняемый файл ( а. с вирусом в начале ( б. с вирусом в конце ( в. с вирусом, распределенным по свободным участкам программы ( г. [8] |
До сих пор мы предполагали, что при запуске зараженной программы запускается вирус, который передает управление настоящей программе, а сам завершает свое существование в памяти. В отличие от подобных вирусов резидентные вирусы, будучи загруженными в память, остаются там навсегда, либо прячась на самом верху памяти, либо прижимаясь к земле среди векторов прерываний, в которых последние несколько сот байт, как правило, не используются. Очень умные вирусы даже могут модифицировать карту памяти операционной системы, чтобы она полагала, что эта область памяти занята. Таким образом удается избежать опасности загрузки поверх вируса какой-либо другой программы. [9]
Многие разновидности вирусов устроены так, что при запуске зараженной программы вирус остается резидентно, то есть до перезагрузки DOS, в памяти компьютера и время от времени заражает программы и выполняет вредные действия на компьютере. [10]
 |
Исполняемый файл ( а. с вирусом в начале ( б. с вирусом в конце ( в. с вирусом, распределенным по свободным участкам программы ( г. [11] |
До сих пор мы предполагали, что при запуске зараженной программы запускается вирус, который передает управление настоящей программе, а сам завершает свое существование в памяти. В отличие от подобных вирусов резидентные вирусы, будучи загруженными в память, остаются там навсегда, либо прячась на самом верху памяти, либо прижимаясь к земле среди векторов прерываний, в которых последние несколько сот байт, как правило, не используются. Очень умные вирусы даже могут модифицировать карту памяти операционной системы, чтобы она полагала, что эта область памяти занята. Таким образом удается избежать опасности загрузки поверх вируса какой-либо другой программы. [12]
Поскольку хвост вируса не должен выполняться каждый раз, когда запускается зараженная программа, количество мест его хранения гораздо больше и здесь многое зависит от изобретательности автора вируса. [13]
Теперь вирус должен уметь запускаться по виртуальному адресу, зависящему от длины зараженной программы, а это означает, что вирус должен быть написан в позиционно-не-зависимом коде, используя относительные, а не абсолютные адреса. Для опытного программиста это не сложно. [14]
Нерезидентные вирусы, напротив, активны на довольно непродолжительных интервалах времени: только в момент запуска зараженной программы. [15]
Страницы: 1 2 3