Компьютерные вирусы. Методы и средства защиты
Контрольная работа - Компьютеры, программирование
Другие контрольные работы по предмету Компьютеры, программирование
после завершения инфицированной программы остаются в оперативной памяти и продолжают свои деструктивные действия, заражая следующие исполняемые программы и процедуры вплоть до момента выключения компьютера. Нерезидентные вирусы запускаются вместе с зараженной программой, и после ее завершения из оперативной памяти удаляются.
Вирусы бывают неопасные и опасные. Неопасные вирусы тяжелых последствий после завершения своей работы не вызывают; они прерывают на время работу исполняемых программ, создавая побочные звуковые и видеоэффекты (иногда даже приятные), или затрудняют работу компьютера, уменьшая объем свободной оперативной и дисковой памяти. Опасные вирусы могут производить действия, имеющие далеко идущие последствия: искажение и уничтожение данных и программ, стирание информации в системных областях диска и даже вывод из строя отдельных компонентов компьютера (жесткие диски, Flash-чипсет BIOS, перепрограммируя его). По алгоритмам функционирования вирусы весьма разнообразны, но можно говорить о таких, например, их группах, как:
1. паразитические вирусы, изменяющие содержимое файлов или секторов диска; они достаточно просто могут быть обнаружены и уничтожены;
2. вирусы-репликаторы ("черви" WORM), саморазмножающиеся и распространяющиеся по телекоммуникациям и записывающие по вычисленным адресам сетевых компьютеров транспортируемые ими опасные вирусы (сами "черви" деструктивных действий не выполняют, поэтому их часто называют псевдовирусами);
3. "троянские*- вирусы маскируются под полезные программы (существуют в виде самостоятельных программ, имеющих то же имя, что и действительно полезный файл, но иное расширение имени; часто, например, присваивают себе расширение .com вместо .ехе) и выполняют деструктивные функции (например, очищают файловые структуры); самостоятельно размножаться, как правило, не могут;
4. вирусы-невидимки (стелс-вирусы), по имени самолета-невидимки "stealth", способны прятаться при попытках их обнаружения; они перехватывают запрос антивирусной программы и мгновенно либо удаляют временно свое тело из зараженного файла, либо подставляют вместо своего тела незараженные участки файлов;
5. самошифрующиеся вирусы (в режиме простоя зашифрованы, и расшифровываются только в момент начала работы вируса);
6. мутирующиеся вирусы (периодически автоматически видоизменяются, копии вируса не имеют ни одной повторяющейся цепочки байт), необходимо каждый раз создавать новые антивирусные программы для обезвреживания этих вирусов;
7. "отдыхающие" вирусы (основное время проводят в латентном состоянии и активизируются только при определенных условиях, например, вирус "Чернобыль" в сети Интернет функционирует только в день годовщины чернобыльской трагедии).
Прежде всего следует знать возможные источники заражения вирусами и аккуратно с ними работать, т.е. осуществлять антивирусную профилактику (особенно если ты на LANе, там много любителей засылать трояны и мониторить). Источниками вирусного заражения могут явиться только съемные носители и системы телекоммуникаций.
Вирус можно написать на любом языке программирования, конечно же, самыми распространенными являются C++ и Delphi, но можно и на "бэйсике", все зависит от назначения вируса.
При подробном изучении вирусов их научились объединять в семейства и распознавать по специальным сигналам и текстам. Каждое семейство имеет своё название.
[1] Time, семейство
Резидентные неопасные вирусы. Перехватывают INT 1Ch, 21h и записываются в конец запускаемых .EXE-файлов. Приблизительно раз в час пищат несколько раз спикером компьютера.
[2] Havoc (Stealth_Boot), семейство
Загрузочные стелс- вирусы. При загрузке с пораженного флоппи записываются в MBR винчестера. Затем перехватывают INT 13h и поражают флоппи-диски при чтении с них. Заражение дискет происходит по алгоритму "Brain".
В зависимости от системного таймера "Havoc.a,b,Innocent" стирают сектора дисков. "Havoc.Amse" безобиден, никак не проявляется.
"Havoc.Alfredo" расшифровывает текст и выводит его на принтер:
LIMA PERU (c) Laboratorio Luz de Luna ANGEL X TE SALUDA
[3] Brain, семейство
Состоит из двух практически совпадающих безобидных вирусов: "Brain-Ashar" и "Brain-Singapore". Они заражают загрузочные сектора дискет при обращении к ним (INT 13h, AH=02h). Продолжение вируса и первоначальный загрузочный сектор размещаются в секторах, которые принадлежат свободным кластерам диска. При поиске этих кластеров вирусам приходится анализировать таблицу размещения файлов (FAT). В FAT эти кластеры помечаются как сбойные (так называемые "псевдосбойные" кластеры). У зараженного диска устанавливается новая метка "(C) Brain". Вирусы используют "стелс"-механизм: при попытке просмотра загрузочного сектора зараженного диска они "подставляют" истинный сектор.
[4] Vienna, семейство
Нерезидентные вирусы. При запуске ищут .COM-файлы и записывается в их конец. Ищут файлы в текущем каталоге и в зависимости от версии вируса в корневом каталоге, либо в каталогах, отмеченных системной переменной PATH.
Заражение происходит при запуске инфицированной программы, при этом заражается не более одного файла. Многие вирусы семейства при попытке заражения проверяют у файла значение секунд (или месяца в зависимости от версии вируса) последней модификации файла. Если оно равно 1Fh (62 секунды, соответственно 0Dh - 13-й месяц), то файл не заражается. Некоторые представители семейства в зависимости от таймера могут "убивать" файлы, за?/p>