КАТЕГОРИИ:
Архитектура-(3434)Астрономия-(809)Биология-(7483)Биотехнологии-(1457)Военное дело-(14632)Высокие технологии-(1363)География-(913)Геология-(1438)Государство-(451)Демография-(1065)Дом-(47672)Журналистика и СМИ-(912)Изобретательство-(14524)Иностранные языки-(4268)Информатика-(17799)Искусство-(1338)История-(13644)Компьютеры-(11121)Косметика-(55)Кулинария-(373)Культура-(8427)Лингвистика-(374)Литература-(1642)Маркетинг-(23702)Математика-(16968)Машиностроение-(1700)Медицина-(12668)Менеджмент-(24684)Механика-(15423)Науковедение-(506)Образование-(11852)Охрана труда-(3308)Педагогика-(5571)Полиграфия-(1312)Политика-(7869)Право-(5454)Приборостроение-(1369)Программирование-(2801)Производство-(97182)Промышленность-(8706)Психология-(18388)Религия-(3217)Связь-(10668)Сельское хозяйство-(299)Социология-(6455)Спорт-(42831)Строительство-(4793)Торговля-(5050)Транспорт-(2929)Туризм-(1568)Физика-(3942)Философия-(17015)Финансы-(26596)Химия-(22929)Экология-(12095)Экономика-(9961)Электроника-(8441)Электротехника-(4623)Энергетика-(12629)Юриспруденция-(1492)Ядерная техника-(1748)
Как начинается распространение вируса
Работа вируса в зараженной программе
Получив управление при старте зараженной программы, вирус выполняет следующие действия:
- Восстанавливает в памяти компьютера исходные три байтa этой программы.
- Ищет на диске подходящий COM - файл.
- Записывает свое тело в конец этого файла.
- Заменяет первые три байта заражаемой программы командой перехода на свой код, сохранив предварительно исходные три байта в своей области данных.
- Выполняет вредные действия, предусмотренные автором.
- Передает управление зараженной программе. Поскольку в COM - файле точка входа всегда равна CS:100h, можно не выполнять сложных расчетов, а просто выполнить переход на этот адрес.
Если же подходящих для заражения COM - файлов найдено не было, то вирус просто осуществляет переход на начало зараженной программы, из которой он и стартовал.
После этого зараженная программа выполняется, как обычно.
Сам вирусный код выполняется очень быстро и для пользователя ЭВМ этот процесс остается незаметным. Стоит заметить, что п.5 может вообще не выполняться. Существуют вирусы, которые никак не проявляют себя, кроме размножения (например, VIENNA 534). Вместе с тем есть и такие, которые способны нанести определенный вред файлам или диску. Например, вирус ANTI_EXE мешает нормально работать с EXE - файлами, DARK AVENGER записывает бессмысленную информацию в случайные сектора диска, а ONEHALF шифрует сектора на винчестере один за другим. Все зависит от изобретательности автора.
Очевидно, чтобы вирус распространился, его нужно внедрить в вычислительную систему. Делается это так:
- Автор разрабатывает вирусную программу. Обычно для этой цели используется язык ассемблера, так как программы, написанные на нем,выполняются очень быстро и имеют малый размер. Хотя есть вирусы, написанные на языке TURBO C и даже на TURBO PASCAL.
- Исходный текст программы компилируется, и из него создается исполняемый файл (обычно типа COM). Этот файл предназначен для того, чтобы " выпустить вирус на свободу". Назовем программу, записанную в этом файле, запускающей.
- Запускающая программа выполняется на машине, которую необходимо заразить.
- Выпущенный на свободу вирус выполняет действия, описанные в 1.3. Различие заключается только в выполнении п.1. А именно - при восстановлении в памяти исходных трех байтов программы на их место записывается команда перехода, передающая управление коду завершения запускающей программы. Таким образом, при выполнении п.6 управление будет отдано операционной системе, а на диске образуется зараженный файл. При копировании этого файла на другие компьютеры и их запуске вирус начнет распространяться.
Итак, займемся изготовлением COM - вируса...
|
|
Дата добавления: 2014-11-20; Просмотров: 383; Нарушение авторских прав?; Мы поможем в написании вашей работы!