 |
Как вирус внедряется в загрузочный сектор?
|
|
|
|
Компьютерные вирусы. Антивирусные средства
Основные понятия, факты
Классификация компьютерных вирусов. Методы внедрения компьютерных вирусов в загрузочные секторы и исполняемые файлы. Макровирусы. Сетевые вирусы. Профилактика заражения компьютера. Методы обнаружения компьютерных вирусов. Антивирусные средства. Методика использования антивирусных средств.
Навыки и умения
Обнаружение и удаление компьютерных вирусов с использованием антивирусных средств. Обнаружение неизвестных вирусов. Организация безопасной работы на компьютере.
Подробнее
1. Е. Касперский. Компьютерные вирусы // www.viruslist.com/viruslistbooks.html
2. Большая вирусная энциклопедия // www.viruslist.com/viruslist.html
3. Ливак Е.Н. Защита информации: Учеб. пособие: В 4 ч. Ч.1 – Компьютерные вирусы. – Гродно, 1997 – 110 с.
4. Ливак Е.Н. Защита информации: Учеб. пособие: В 4 ч. Ч.2 – Как лечить компьютер. – Гродно, 1998 – 95 с.
Компьютерный вирус - это набор команд, который производит и распространяет свои копии в компьютерных системах и/или компьютерных сетях и преднамеренно выполняет некоторые действия, нежелательные для законных пользователей системы.
Подчеркнем. Программа-вирус способна к самораспространению. Это и есть главный критерий, по которому отличается программа-вирус от остальных программ.
Рассмотрим подробнее ключевые элементы определения.
Компьютерный вирус - набор команд. Тело вируса могут составлять команды какого-либо языка программирования или нескольких сразу. Самым распространенным случаем является язык ассемблера.
Компьютерный вирус распространяется. Вирус может создавать свои копии и внедряться в исполняемые файлы программ, командные файлы, системные области компьютера. При этом копии сохраняют способность к дальнейшему распространению. Важно и то, что вирус может распространять набор команд, отличный от оригинала.
|
|
|
Компьютерный вирус выполняет нежелательные действия. Попадая в компьютерную систему, вирус производит в ней изменения. В лучшем случае - это безобидные действия. Например, отображение на экране монитора разнообразных надписей или рисунков, проигрывание на встроенном динамике различных мелодий. В худшем случае - это разрушение файлов данных и программного обеспечения компьютера.
Классификация компьютерных вирусов
Вирусы можно разделить на классы по следующим признакам:
· по среде обитания вируса,
· по способу заражения,
· по деструктивным возможностям,
· по особенностям алгоритма вируса.
По среде обитания вирусы можно разделить на файловые, загрузочные и файлово-загpузочные.
ФАЙЛОВЫМ называют вирус, который внедряется в исполняемые файлы. Это означает, что код программы-вируса находится в каком-то исполняемом файле.
ЗАГРУЗОЧHЫМ (бутовым) называют вирус, который внедряется в загрузочный сектор диска (Boot-сектоp), либо в сектор, содержащий системный загрузчик винчестера (Master Boot Record).
ФАЙЛОВО-ЗАГРУЗОЧHЫМ называют вирус, который внедряется как в файлы, так и загрузочные секторы дисков.
По способам заражения различают резидентные и нерезидентные вирусы.
РЕЗИДЕHТHЫЙ вирус размещает себя или некоторую свою часть в оперативной памяти компьютера, получая возможность перехватывать обращения операционной системы к дискам и файлам. При обращении операционной системы к этим объектам, вирус внедряется в них. Резидентный вирус находится в оперативной памяти и является активным вплоть до выключения или перезагрузки компьютера.
Резидентными являются все загрузочные вирусы.
|
|
|
HЕРЕЗИДЕHТHЫЙ вирус не заражает оперативную память компьютера, то есть не размещает свой код в оперативной памяти. Он является активным только во время работы зараженной программы.
По деструктивным возможностям вирусы можно разделить на неопасные и опасные.
НЕОПАСНЫЕ вирусы - это те, которые либо совсем никак не влияют на работу компьютера, кроме того, что все-таки уменьшают свободную память на диске в результате своего pаспpостpанения, либо ограничиваются видео- и аудиоэффектами.
ОПАСHЫМИ вирусами являются все остальные. Это те вирусы, которые наносят любой вред компьютеру: приводят к серьезным сбоям в работе, уничтожают или изменяют данные, уничтожают информацию в системных областях компьютера и т.п.
По особенностям алгоритма можно выделить следующие группы вирусов:
1) вирусы-«спутники»;файловые черви;
2) вирусы в структуре файловой системы;
3) стелс-вирусы (Stealth);
4) вирусы-призраки;
5) полиморфные и MtE-вирусы;
6) макровирусы;
7) скрипт-вирусы;
8) Java-вирусы;
9) сетевые черви и другие.
МЕТОДЫ ВНЕДРЕНИЯ ВИРУСОВ
Как вирус внедряется в загрузочный сектор?
Загрузочный вирус записывает себя в первый сектор диска, а его содержимое переписывает в другой сектор, или, другими словами, оригинальный загрузочный сектор диска вирус переносит в какой-либо другой сектор диска, а себя записывает на его место.
Если длина вируса больше длины одного сектора, то в первый сектор помещается начало вируса, а его продолжение - в другие секторы диска.
Существуют вирусы, которые не сохраняют старое содержимое загрузочного сектора, а содержат в своем теле стандартный загрузчик. При заражении они записываются поверх оригинального загрузочного сектора без его сохранения.
Существует несколько способов размещения на диске первоначального загрузочного сектора и продолжения вируса:
1) в секторы свободных кластеров логического диска;
2) в неиспользуемые или редко используемые секторы;
3) в секторы, расположенные за пределами диска.
Если вирус собирается разместить оригинальный загрузочный сектор в свободных секторах (блоках) диска, он выбирает свободные блоки диска, записывает в них свою информацию, а эти блоки, как правило, помечает как сбойные. Эти блоки называются псевдосбойными блоками.
|
|
|
Неиспользуемым или редко используемым сектором на винчестере является один из секторов (если такие есть), расположенных между MBR и первым Boot-сектором.
На дискете неиспользуемый или редко используемый сектор выбирается из последних секторов корневого каталога.
Реже используется метод сохранения продолжения вируса за пределами диска (метод нестандартного форматирования). Он заключается в том, что вирус форматирует дополнительную дорожку и записывает на нее часть своего кода и настоящий загрузочный сектор. Информация с этой дополнительной дорожки не может быть считана или записана обычными средствами операционной системы.
|
|
|
