Ехе-вирусы

Рефераты, курсовые, дипломные, контрольные (предпросмотр)

Тип: Глава из книги. Файл: Word (.doc) в архиве zip. Категория: Информатика, IT
Адрес этого реферата http://referat-kursovaya.repetitor.info/?essayId=24763 или
Загрузить
В режиме предпросмотра не отображаются таблицы, графики и иллюстрации. Для получения полной версии нажмите кнопку «Загрузить». Рефераты, контрольные, дипломные, курсовые работы предоставляются в ознакомительных целях, не для плагиата.
Страница 1 из 5 [Всего 5 записей]1 2 3 4 5 »

В этой главе рассказано о ви-

русах, заражающих ЕХЕ-фай-

лы. Приведена классифика-

ция таких вирусов, подробно

рассмотрены алгоритмы их

работы, отличия между

ними, достоинства и недо-

статки. Для каждого типа

вирусов представлены исход-

ные тексты с подробными

комментариями. Также приве- .

дены основные сведения

о структуре и принципах ра-

боты ЕХЕ-программы.

СОМ-файлы (небольшие программы, написанные в основном на языке

Assembler) медленно, но верно устаревают. Им на смену приходят пуга-

ющие своими размерами ЕХЕ-"монстры". Появились и вирусы, умею-

щие заражать ЕХЕ-файлы.

Структура и процесс загрузки ЕХЕ-программы

В отличие от СОМ-программ, ЕХЕ-программы могут состоять из не-

скольких сегментов (кодов, данных, стека). Они могут занимать боль-

ше 64Кбайт.

ЕХЕ-файл имеет заголовок, который используется при его загрузке.

Заголовок состоит из форматированной части, содержащей сигнатуру

и данные, необходимые для загрузки ЕХЕ-файла, и таблицы для на-

стройки адресов (Relocation Table). Таблица состоит из значений в фор-

мате сегмент:смещение. К смещениям в загрузочном модуле, на которые

указывают значения в таблице, после загрузки программы в память дол-

жен быть прибавлен сегментный адрес, с которого загружена программа.

При запуске ЕХЕ-программы системным загрузчиком (вызовом функ-

ции DOS 4Bh) выполняются следующие действия:

1. Определяется сегментный адрес свободного участка памяти, размер

которого достаточен для размещения программы.

2. Создается и заполняется блок памяти для переменных среды.

3. Создается блок памяти для PSP и программы (сегментЮОООЬ - PSP;

сегмент+ООЮЬЮОООЬ - программа). В поля PSP заносятся соответ-

ствующие значения.

4. Адрес DTA устанавливается равным PSP:0080h.

5. В рабочую область загрузчика считывается форматированная часть

заголовка ЕХЕ-файла.

6. Вычисляется длина загрузочного модуля по формуле:

Si7.e=((PageCnt*5i2)-(HdrSae*i6))-Pa!tP3ig.

7. Определяется смещение загрузочного модуля в файле, равное

HdrSize*16.

8. Вычисляется сегментный адрес (START_SEG) для загрузки -

обычно это PSP+lOh.

9. Считывается в память загрузочный модуль (начиная с адреса

START_SEG:0000).

10. Для каждого входа таблицы настройки:

a) читаются слова I_OFF и I_SEG;

b) вычисляется RELC^SEG-START^SEG+LSEG;

c) читается слово по адресу RELO_SEG:I_OFF;

d) к прочитанному слову прибавляется START_SEG;

e) результат запоминается по тому же адресу (RELO_SEG:I_OFF).

11. Распределяется память для программы в соответствии с МахМет

и МтМет.

12. Инициализируются регистры, выполняется программа:

a) ES=DS°PSP;

b) АХ=результат проверки правильности идентификаторов драйве-

ров, указанных в командной строке;

c) SS°START_SEG+ReloSS, SP-ExeSP;

d) CS=START_SEG+ReloCS, IP=ExeIP.

Классификация ЕХЕ-вирусов

ЕХЕ-вирусы условно можно разделить на группы, используя в качестве

признака для деления особенности алгоритма.

Вирусы, замещающие программный код (Overwrite)

Такие вирусы уже стали раритетом. Главный их недостаток - слишком

грубая работа. Инфицированные программы не исполняются, так как

вирус записывается поверх программного кода, не сохраняя его. При

запуске вирус ищет очередную жертву (или жертвы), открывает найден-

ный файл для редактирования и записывает свое тело в начало про-

граммы, не сохраняя оригинальный код. Инфицированные этими виру-

сами программы лечению не подлежат.

Вирусы-спутники (Companion)

Эти вирусы получили свое название из-за алгоритма размножения:

к каждому инфицированному файлу создается файл-спутник. Рассмот-

рим более подробно два типа вирусов этой группы:

Вирусы первого типа размножается следующим образом. Для каждого ин-

фицируемого ЕХЕ-файла в том же каталоге создается файл с вирусным

кодом, имеющий такое же имя, что и ЕХЕ-файл, но с расширением

СОМ. Вирус активируется, если при запуске программы в командной

строке указано только имя исполняемого файла. Дело в том, что, если

не указано расширение файла, DOS сначала ищет в текущем каталоге

файл с заданным именем и расширением СОМ. Если СОМ-файл с та-

ким именем не найден, ведется поиск одноименного ЕХЕ-файла. Если

не найден и ЕХЕ-файл, DOS попробует обнаружить ВАТ (пакетный)

файл. В случае отсутствия в текущем каталоге исполняемого файла

с указанным именем поиск ведется во всех каталогах, доступных

по переменной PATH. Другими словами, когда пользователь хочет за-

пустить программу и набирает в командной строке только ее имя

(в основном так все и делают), первым управление получает вирус,

код которого находится в СОМ-файле. Он создает СОМ-файл еще

к одному или нескольким ЕХЕ-файлам (распространяется), а затем

исполняет ЕХЕ-файл с указанным в командной строке именем. Поль-

зователь же думает, что работает только запущенная ЕХЕ-программа.

Вирус-спутник обезвредить довольно просто - достаточно удалить

СОМ-файл.

Вирусы второго типа действуют более тонко. Имя инфицируемого

ЕХЕ-файла остается прежним, а расширение заменяется каким-либо

другим, отличным от исполняемого (СОМ, ЕХЕ и ВАТ), Например,

файл может получить расширение DAT (файл данных) или OVL (про-

граммный оверлей). Затем на место ЕХЕ-файла копируется вирусный

код. При запуске такой инфицированной программы управление полу-

чает вирусный код, находящийся в ЕХЕ-файле. Инфицировав еще один

или несколько ЕХЕ-файлов таким же образом, вирус возвращает ориги-

нальному файлу исполняемое расширение (но не ЁХЕ, а СОМ, по-

скольку ЕХЕ-файл с таким именем занят вирусом), после чего испол-

няет его. Когда работа инфицированной программы закончена, ее

запускаемому файлу возвращается расширение неисполняемого. Лече-

ние файлов, зараженных вирусом этого типа, может быть затруднено,

если вирус-спутник шифрует часть или все тело инфицируемого файла,

а перед исполнением его расшифровывает.

Вирусы, внедряющиеся в программу (Parasitic)

Вирусы этого вида самые незаметные: их код записывается в инфици-

руемую программу, что существенно затрудняет лечение зараженных

файлов. Рассмотрим методы внедрения ЕХЕ-вирусов в ЕХЕ-файл.

Способы заражения ЕХЕ-файлов

Самый распространенный способ заражения ЕХЕ-файлов такой: в конец

файла дописывается тело вируса, а заголовок корректируется (с сохране-

нием оригинального) так, чтобы при запуске инфицированного файла

управление получал вирус. Похоже на заражение СОМ-файлов, но вмес-

то задания в коде перехода в начало вируса корректируется собственно

адрес точки запуска программы. После окончания работы вирус берет из

сохраненного заголовка оригинальный адрес запуска программы, прибав-

ляет к его сегментной компоненте значение регистра DS или ES (полу-

ченное при старте вируса) и передает управление на полученный адрес.

Следующий способ - внедрение вируса в начало файла со сдвигом кода

программы. Механизм заражения такой: тело инфицируемой программы

считывается в память, на ее место записывается вирусный код, а после

него - код инфицируемой программы. Таким образом, код программы

как бы "сдвигается" в файле на длину кода вируса. Отсюда и название

способа - "способ сдвига". При запуске инфицированного файла вирус

заражает еще один или несколько файлов. После этого он считывает

в память код программы, записывает его в специально созданный на

диске временный файл с расширением исполняемого файла (СОМ или

ЕХЕ), и затем исполняет этот файл. Когда программа закончила рабо-

ту, временный файл удаляется. Если при создании вируса не применя-

лось дополнительных приемов защиты, то вылечить инфицированный

файл очень просто - достаточно удалить код вируса в начале файла,

и программа снова будет работоспособной. Недостаток этого метода

в том, что приходится считывать в память весь код инфицируемой про-

граммы (а ведь бывают экземпляры размером больше 1Мбайт).

RSSСтраница 1 из 5 [Всего 5 записей]1 2 3 4 5 »


При любом использовании материалов сайта обязательна гиперссылка на сайт «Репетитор».
Разработка и Дизайн компании Awelan
www.megastock.ru
Проверить аттестат