Cтраница 2
Код зараженной программы обычно изменяется таким образом, чтобы вирус получил управление первым, до начала работы программы-носителя. При передаче управления вирусу он находит новую программу и выполняет вставку своей копии в нее. Самый распространенный и часто встречающийся способ заражения файловым вирусом - вставка в конец программы. В этом слу-чае вирус корректирует код заражаемой программы так, чтобы получить управление первым. Для этого обычно первые несколько байтов запоминаются в теле вируса, а на их место вставляется код перехода на начало вируса. В случае com модуля это обычно команда безусловного перехода jmp. При запуске программы, вирус первым получает управление, отрабатывает свой код, после чего восстанавливает скрытые первые байты и передает управление программе-вирусоносителю. [16]
ДОС) в памяти компьютера и время от времени заражают программы. Кроме того, зараженные программы с данного компьютера могут быть перенесены с помощью дискет или по локальной сети на другие компьютеры. [17]
К этому моменту, как правило, уже достаточно много ( или даже большинство) тех программ, которыми Вы пользуетесь, являются зараженными вирусом, а некоторые файлы и диски - испорченными. Более того, зараженные программы с Вашего компьютера могли быть уже перенесены с помощью дискет или по локальной сети на компьютеры Ваших коллег и друзей. [18]
Многие вирусы устроены так, что при запуске зараженной программы они остаются постоянно ( точнее, до перезагрузки DOS) в памяти компьютера и время от времени заражают программы. Кроме того, зараженные программы с данного компьютера могут быть перенесены с помощью дискет или по локальной сети на другие компьютеры. [19]
При заражении вирусом, вставленным в конец или середину программы, как правило, не производится перенос замещаемых блоков. В этом случае длина зараженной программы не изменяется, а исходный выполняемый модуль безвозвратно разрушается, что маскируется вирусом при его запуске выдачей одного из сообщений операционной системы. [20]
Резидентные вирусы после завершения инфицированной программы остаются в оперативной памяти и продолжают свои деструктивные действия, заражая следующие исполняемые программы и процедуры вплоть до момента выключения компьютера. Нерезидентные вирусы запускаются вместе с зараженной программой и после ее завершения из оперативной памяти удаляются. [21]
Программы-доктора применяются для восстановления зараженных программ, если ее копий нет в архиве, но они не всегда лечат правильно. Доктора-ревизоры обнаруживают нападение вируса и лечат зараженные программы, причем контролируют правильность лечения. [22]
Программа, обнарч / кивающая или обнаруживающая и удаляющая вирусы. Если вирус удалить не удается, зараженная программа уничтожается. [23]
Процесс заражения файла, который мы рассмотрели чуть выше имеет один недостаток. Чтобы произошло заражение, вам необходимо выполнить зараженную программу, а это с точки зрения автора вируса является делом случая. [24]
Необходимо отметить, что способ поиска жертвы у резидентных вирусов существенно отличается от способа, используемого нерезидентными вирусами. Нерезидентные вирусы получают управление после загрузки в память зараженной программы, а затем ищут файл-жертву, используя информацию операционной системы о расположении выполняемых программ. Если жертва найдена, то она заражается, а затем управление возвращается зараженной программе. [25]
Практически все виды вирусов бывают резидентными и нерезидентными. Поэтому резидентные вирусы опасны не только во время работы зараженной программы, но и после ее окончания. Резидентные копии таких вирусов остаются жизнеспособными вплоть до очередной перезагрузки, даже если на диске уничтожены все зараженные файлы. Часто от таких вирусов невозможно избавиться восстановлением всех копий файлов с дистрибутивных дисков или backup - копий. Резидентная копия вируса остается активной и заражает вновь создаваемые файлы. Это характерно и для загрузочных вирусов. Форматирование диска при наличии в памяти резидентного вируса не всегда вылечивает диск, поскольку многие резидентные вирусы заражают его повторно после форматирования. [26]
Чтобы дать ему выполнить свои операции, необходимо запустить зараженную программу. [27]
В этом случае следует перезагрузить DOS с дискеты и удалить зараженную программу, а затем переписать эту программу с эталонной дискеты или восстановить ее из архива. Для того, чтобы выяснить, не испортил ли вирус каких-то других файлов, следует запустить программу-ревизор для проверки изменений в файлах, желательно с широким списком проверяемых файлов. Чтобы в процессе проверки не продолжать заражение компьютера, следует запускать исполнимый файл программы-ревизора, находящийся на дискете. [28]
Другим способом заражения пользуются так называемые резидентные вирусы. Гораздо логичнее с точки зрения распространения вируса, после первого же запуска зараженной программы, оставить в памяти компьютера голову вируса, которая перехватывает все обращения вашего компьютера к файлам, содержащим программы и заражает их. Резидентные вирусы постоянно находятся в памяти и являются активными вплоть до выключения или перезагрузки компьютера. [29]
Широко распространено ошибочное мнение, что для того, чтобы заразить компьютер вирусом достаточно просто вставить зараженную дискету в дисковод или переписать зараженный файл по сети на свой компьютер. Для того чтобы произошло заражение необходимо, чтобы вирус получил управление, то есть зараженная программа была запущена на вашем компьютере. [30]