ВУЗ:
Составители:
ренние текстовые строки, выбрать эффекты, сопровождающие работу вируса, и т. п.
Прочие конструкторы не имеют интерфейса и считывают информацию о типе вируса из
конфигурационного файла.
Полиморфные генераторы, как и конструкторы вирусов, не являются вирусами в
прямом смысле этого слова, поскольку в их алгоритм не закладываются функции раз-
множения, т.е. открытия, закрытия и записи в файлы, чтения и записи секторов и т.д.
Главной функцией подобного рода программ является шифрование тела вируса и генера-
ция соответствующего расшифровщика.
Резидентные вирусы. Под термином «резидентность» (DOS'овский термин TSR –
Terminate and Stay Resident) понимается способность вирусов оставлять свои копии в
операционной системе, перехватывать некоторые события (например, обращения к фай-
лам или дискам) и вызывать при этом процедуры заражения обнаруженных объектов
(файлов и секторов). Таким образом, резидентные вирусы активны не только в момент
работы зараженной программы, но и после того как программа закончила свою работу.
Резидентные копии таких вирусов остаются жизнеспособными вплоть до очередной пе-
резагрузки, даже если на диске уничтожены все зараженные файлы.
Полиморфик-вирусами являются те, обнаружение которых невозможно (или крайне
затруднительно) осуществить при помощи так называемых вирусных масок – участков
постоянного кода, специфичных для конкретного вируса. Достигается это двумя основными
способами – шифрованием основного кода вируса с непостоянным ключом и случайным
набором команд расшифровщика или изменением самого выполняемого кода вируса.
Уровни полиморфизма. Существует деление полиморфик-вирусов на уровни в зави-
симости от сложности кода, который встречается в расшифровщиках этих вирусов. Такое
деление впервые предложил доктор Алан Соломон, через некоторое время Весселин
Бончев расширил его.
Уровень 1. Вирусы, которые имеют некоторый набор расшифровщиков с постоян-
ным кодом и при заражении выбирают один из них. Такие вирусы являются полуполи-
морфиками и носят также название олигоморфик (oligomorphic).
Уровень 2. Расшифровщик вируса содержит одну или несколько постоянных инст-
рукций, основная же его часть непостоянна.
Уровень 3. Расшифровщик содержит неиспользуемые инструкции мусор типа NOP,
CLI, STI и т.д.
Уровень 4. В расшифровщике используются взаимозаменяемые инструкции и изме-
нение порядка следования (перемешивание) инструкций. Алгоритм расшифровки при
этом не изменяется.
Уровень 5. Используются все перечисленные выше приемы, алгоритм расшифровки
непостоянен, возможно повторное шифрование кода вируса и даже частичное шифрова-
ние самого кода расшифровщика.
Уровень 6. Permutating-вирусы. Изменению подлежит основной код вируса – делит-
ся на блоки, которые при заражении переставляются в произвольном порядке. Вирус при
этом остается работоспособным. Подобные вирусы могут быть не зашифрованы.
Приведенное деление не свободно от недостатков, поскольку производится по един-
ственному критерию – возможности обнаруживать вирус по коду расшифровщика при
помощи стандартного приема вирусных масок.
Если произвести деление на уровни с точки зрения антивирусов, использующих
системы автоматического расшифрования кода вируса (эмуляторы), то деление на уровни
будет зависеть от сложности эмуляции кода вируса. Возможно, более объективным явля-
ется деление, в котором помимо критерия вирусных масок участвуют и другие парамет-
ры:
1. Степень сложности полиморфик-кода (процент от всех инструкций процессора, ко-
торые могут встретиться в коде расшифровщика).
2. Использование антиэмуляторных приемов.
3. Постоянство алгоритма расшифровщика.
4. Постоянство длины расшифровщика.
10.2. ПРОФИЛАКТИКА И ЛЕЧЕНИЕ ИНФОРМАЦИОННЫХ ИНФЕКЦИЙ. ПРОГРАММЫ
ОБНАРУЖЕНИЯ И ЗАЩИТЫ ОТ ВИРУСОВ
Для обнаружения, удаления и защиты от компьютерных вирусов разработано не-
сколько видов специальных программ, которые позволяют обнаруживать и уничтожать
вирусы. Такие программы называются антивирусными.
Различают следующие виды антивирусных программ (рис. 10.1):
АНТИВИРУСНЫЕ ПРОГРАММЫ
Детекторы
Доктора
Ревизоры Мониторы Вакцины
Страницы
- « первая
- ‹ предыдущая
- …
- 109
- 110
- 111
- 112
- 113
- …
- следующая ›
- последняя »
