Резидентный вирус - Большая Энциклопедия Нефти и Газа, статья, страница 1
Закон Сигера: все, что в скобках, может быть проигнорировано. Законы Мерфи (еще...)

Резидентный вирус

Cтраница 1


Резидентный вирус при инициализации перехватывает и контролирует некоторые прерывания DOS в соответствии с механизмом поиска программ ( при запуске, открытии, чтении, записи) обычно перехватываются 21h и 13h прерывания DOS.  [1]

2 Исполняемый файл ( а. с вирусом в начале ( б. с вирусом в конце ( в. с вирусом, распределенным по свободным участкам программы ( г. [2]

Типичный резидентный вирус перехватывает один из векторов прерываний, сохраняя старое значение в своей переменной, и подменяет его адресом своей процедуры. Это может быть прерывание от внешнего устройства ввода-вывода или эмулированное прерывание.  [3]

Необходимо отметить, что способ поиска жертвы у резидентных вирусов существенно отличается от способа, используемого нерезидентными вирусами. Нерезидентные вирусы получают управление после загрузки в память зараженной программы, а затем ищут файл-жертву, используя информацию операционной системы о расположении выполняемых программ. Если жертва найдена, то она заражается, а затем управление возвращается зараженной программе.  [4]

При обнаружении вируса компьютер следует немедленно остановить, так как резидентный вирус может все еще работать. Компьютер следует перезагрузить с CD-ROM или гибкого диска, на котором всегда должна быть установлена защита от записи. На этом диске должна содержаться полная операционная система, чтобы не использовать при загрузке жесткий диск с его загрузочным сектором, копией операционной системы и драйверами, которые могут быть инфицированы. Затем с оригинального CD-ROM следует запустить антивирусную программу, так как версия программы, хранящаяся на жестком диске, также может быть заражена.  [5]

Бутовые вирусы являются весьма специализированной разновидностью резидентных файловых вирусов. Упрощенно бутовый вирус можно представить себе как специализированный резидентный вирус, который заражает единственный файл - Boot record гибкого или жесткого диска.  [6]

Вирусы не обязательно должны спокойно сидеть и ждать, пока антивирусная программа их не убьет. Особенно захватывающие сражения могут начаться при встрече резидентного вируса с резидентной антивирусной программой.  [7]

Сущность теста заключается в запуске непораженной копии продукта при наличии активного резидентного вируса Jerusalem-B в памяти компьютера.  [8]

Для предупреждения повторного заражения файлов вирусы используют специальные приемы. Например, в поле даты и времени создания файла проставляются несуществующие данные. Резидентный вирус вводит дополнительную функцию перехваченного им прерывания, которая возвращает значение, означающее присутствие копии вируса в памяти. Другим наиболее часто используемым способом регистрации наличия резидентного вируса в памяти является запись в редко используемую область памяти некоторой комбинации битов.  [9]

Второй тип вакцин защищает систему от поражения вирусом какого-то определенного вида. Файлы на дисках модифицируются таким образом, что вирус принимает их за уже зараженными. Для защиты от резидентного вируса в память компьютера заносится программа, имитирующая копию вируса. При запуске зараженной программы, вирус распознает вакцину как свою резидентскую копию и не активизируется. Такой тип вакцинации не может быть универсальным, поскольку при его помощи нельзя иммунизировать файлы от всех известных вирусов. Однако несмотря на это подобные программные средства в качестве полумеры могут вполне надежно защитить компьютер от нового неизвестного вируса вплоть до того момента, когда он будет детектироваться антивирусными сканерами.  [10]

Данная ошибка может иметь катастрофические последствия. В частности, при этом могут быть заражены и остальные программы. Например, при резидентном вирусе RCE-1800 ( Dark Avenger) запуск программы-фага, не рассчитанной на данный вирус, приводит к заражению всех проверявшихся данной программой загрузочных модулей, поскольку вирус RCE-1800 перехватывает прерывание по открытию и чтению файлов и при работе фага будет заражен каждый проверяемый им файл. Поэтому проверять зараженный компьютер следует только на предварительно загруженной с защищенной от записи дискете эталонной операционной системы, используя только программы, хранящиеся на защищенных от записи дискетах.  [11]

Для предупреждения повторного заражения файлов вирусы используют специальные приемы. Например, в поле даты и времени создания файла проставляются несуществующие данные. Резидентный вирус вводит дополнительную функцию перехваченного им прерывания, которая возвращает значение, означающее присутствие копии вируса в памяти. Другим наиболее часто используемым способом регистрации наличия резидентного вируса в памяти является запись в редко используемую область памяти некоторой комбинации битов.  [12]

13 В начале вирус перехватывает все векторы прерываний ( а. операционная система забрала себе вектор прерывания принтера ( б. вирус заметил потерю вектора прерывания. [13]

Как только вирус замечает, что один из векторов прерываний у него отнят, он может захватить его снова, зная, что теперь это безопасно. В действительности некоторые векторы прерываний перезаписываются во время загрузки операционной системы по нескольку раз, но последовательность этих действий является детерминированной, и автор вируса знает ее наизусть. Повторный перехват прерывания принтера показан на рис. 9.9, в. Когда все загружено, вирус восстанавливает все векторы прерываний, а себе оставляет только вектор эмулированного прерывания, которым пользуются системные вызовы. В конце концов, управление системными вызовами значительно интереснее, чем контроль над каждой операцией гибкого диска, но во время загрузки вирус не может рисковать потерять управление навсегда. Большинство резидентных вирусов именно так и загружаются.  [14]

Практически все виды вирусов бывают резидентными и нерезидентными. Поэтому резидентные вирусы опасны не только во время работы зараженной программы, но и после ее окончания. Резидентные копии таких вирусов остаются жизнеспособными вплоть до очередной перезагрузки, даже если на диске уничтожены все зараженные файлы. Часто от таких вирусов невозможно избавиться восстановлением всех копий файлов с дистрибутивных дисков или backup - копий. Резидентная копия вируса остается активной и заражает вновь создаваемые файлы. Это характерно и для загрузочных вирусов. Форматирование диска при наличии в памяти резидентного вируса не всегда вылечивает диск, поскольку многие резидентные вирусы заражают его повторно после форматирования.  [15]



Страницы:      1