Навигация сайта
Категории
Статьи
Новые фильмы
Топ новостей
Афоризмы
Не в Виндах счастье, а в их отсутствии.
Опрос
Поиск
Форум
Игры на сайте
Случайный анекдот
Гейтс получил Hобелевскую премию по экономике и медицине за то, что первый додумался продавать геморрой за такие деньги.
Облако тегов
Статистика
1
1
0| Главная » Статьи » Компьютеры |
Компьютерные вирусы
| С того момента как были созданы первые персональные компьютеры, доступные широкому слою народонаселения, появились первые компьютерные вирусы. Доподлинно известно, что компьютер и программное обеспечение, которое распространялось на дисках, представляли собой благоприятную среду для формирования и развития вирусных программ. Разные неофициальные данные, которые распространялись весьма широко, окутывали эти вредные создания непонятным и неизвестным туманом. В настоящий момент, даже профессиональные эксперты в сфере администрирования не всегда могут точно представить себе, что представляют собой вирусы, как они оказываются в компьютерах и компьютерных сетях, и сколько вреда они могут причинить. Помимо всего прочего, не понимая функционального механизма популяризации вирусов, практически нереально защитить свой компьютер на 100 процентов. Даже самые лучшие антивирусные программы могут оказаться бессильными, если они будут использоваться безграмотно. Что представляет собой компьютерный вирус? Опуская всякие подробности, компьютерный вирус – это самопроизвольно распространяющийся в информативной компьютерной среде код. Написанный злоумышленниками вредоносный код может быть внедрен в реализовываемые командные файлы программного обеспечения. Кроме того, он может быть распространен через логические секторы дисков, офисную документацию, письма, сайты и так далее. Оказавшись в компьютерной информационной среде, вирусный код может нарушить визуальные или звуковые эффекты, инициировать потерю важной информации, а также удалить личные и конфиденциальные данные. В самой плохой ситуации, компьютер, пораженный вирусом, может перейти под полный контроль мошенника. В настоящее время, мы доверяем компьютерам решение разных проблем. В результате выхода компьютера из строя мы можем оказаться в весьма плачевной ситуации, вплоть до летального исхода. Об этой информации должны помнить разработчики компьютерных административных систем. В настоящий момент компьютерных вирусов насчитывается более миллиона. Невзирая на огромное их количество, есть весьма ограниченное число типовых вирусов, которые отличаются между собой механизмом популяризации и действием. Существуют вирусы комбинированного типа, которые относятся к разным видам. Далее мы познакомим вас с различными типами вирусом, в хронологическом порядке. Вирусы файловой системы Доподлинно известным фактом является то, что вирусы файловой системы появились раньше, чем вирусы иных типов. Изначально они распространялись через операционную систему «MS-DOS». Их главной целью было внедриться в программные файлы «COM» и «EXE». Вирусный код, попадая в благоприятную среду, изменял её так, что при инициализации, управление передавалось не программе, а вирусу. Вирус, как правило, записывает вредоносный код в конечную, начальную или среднюю часть файла (рис. 1). Вирусный код может быть разделен на несколько блоков, которые будут находиться в разных местах зараженного программного обеспечения.  Рис. 1. Вирусный код «MOUSE.COM». Приобретя управление, вирусный код начнет заражать другие программы, внедряясь в интегрированную память компьютера и выполняя там негативные функции. Затем вирусный код может передать управление зараженному программному обеспечению, которое будет исполняться стандартным образом. Вследствие всего этого, пользователи, запустившие программное обеспечение, даже не подозревают о наличии вируса. Следует заметить, что такие вирусные коды могут заразить не просто программное обеспечение «COM» и «EXE», но и другие типовые файлы, например «OVL», «OVI», «OVR». Часто вирусы поражают системные драйверы «SYS», динамические библиотечные файлы «DLL» и так далее. На данный момент, существуют вирусы, поражающие не просто «MS-DOS», но и другие операционные системы, например, «Microsoft Windows», «Linux», «IBM OS/2». Преимущественное количество этих вирусов живет в среде операционной системы «MS-DOS» и «Microsoft Windows». Когда операционная система «MS-DOS» была на пике своей популярности, вирусы жили в благоприятной среде за счет свободного обмена программным обеспечением. В то время, программные файлы были небольшого размера и содержались на дисках. Зачастую, пользователи, загружали вирусную программу случайным образом, через электронную доску объявлений «BBS» или из сети интернет. Не сложно догадаться, что вместе с такими программами шли вирусы. Современное программное обеспечение занимает немало места и распространяется, зачастую, на дисках «CD». Обмен вируса на малых дисках остался далеко в прошлом. Устанавливая программное обеспечение с лицензированного диска «CD», вы, не подвергаете свой компьютер вирусной опасности. А вот имея дело с пиратскими программами, у вас могут возникнуть серьезные проблемы с вирусной активностью. На сегодняшний день, файловые вирусы уже неактуальны, им на смену пришли более современные вирусные коды. Вирусы загрузочного типа Вирусный код загрузочного типа позволяет взять управление компьютером на этапе инициализации, еще до запуска самой системы. Для понимания их функциональности, вспомните последовательные действия запуска персонального компьютера и загрузки ОС. После того, как вы нажали на клавишу инициализации питания компьютера, запускается проверка «POST», прописанная в системе «BIOS». В процессе данной проверки определяется конфигурирование компьютера и функциональность его дополнительных систем. Далее процесс «POST» осуществляет проверку вставленных дисков «A» в дисковод. Если в ходе проверки был обнаружен вставленный диск «A», то в дальнейшем загрузка ОС будет происходить с этого диска. В иной ситуации загрузка операционной системы происходит с жесткого диска. В начале загрузки с диска «А» процесс «POST» начинает считывание загрузочной записи «Boot Record» в оперативную память. Данная запись находится в первичном секторе диска «А» и является мини программой. Помимо программы, эта запись включает в себя структурированные данные, определяющие формат диска и некоторые иные характеристики. Далее процесс «POST» отправляет управление «BR». Этот процесс начинает загружать операционную систему. При запуске системы с жесткого диска процесс «POST» считывает основополагающую загрузочную запись «Master Boot» «Record», «MBR» и делать запись в оперативной памяти. Данная запись включает в себя программу начальной инициализации и таблицу разделов, в которой записаны все ветви жесткого диска. Она находится в первичном секторе винчестера. После прочтения «MBR» управление переходит к запущенной с диска программе начальной загрузки, которая осуществляет анализ содержимого таблицы разделов, выбирая нужный раздел и считывая активную запись «BR». Принцип работы загрузочного вируса Во время заражения диска вирус загрузочного типа изменяет запись «BR» или основную запись загрузки «MBR» (рис. 2). Начальные записи «BR» или «MBR» при этом, как правило, не теряются. Вирусный код копирует их в любой свободный дисковый сектор.  Рис. 2. Вирусный код в загрузочной записи. В результате этого, вирусный код начинает управлять процессом «POST» сразу после запуска. Далее вирус, чаще всего, работает по типовому алгоритму. Он создает несколько своих копий, в конце встроенной памяти, снижая ее основной объем. После этих действий он берет под свой контроль некоторые функции «BIOS», соответственно и обращение к ним передается в вирусное управление. В заключение процесса заражения вирусный код загружает в интегрированную память целый загрузочный сектор и берет на себя управление. Затем ПК инициализируется как обычно, но вирусный код уже сидит в памяти и контролирует работу программного обеспечения. Вирусы комбинированного типа Помимо всего вышеописанного, существуют вирусы комбинированного типа, которые объединяют в себе свойства разных типов вирусов, например, файлового и загрузочного. В виде примера приведем популярный в минувшие годы файловый загрузочный вирус под названием «OneHalf». Этот вирусный код, оказавшись в компьютерной среде операционной системы «MS-DOS» заражал основную запись загрузки. В процессе инициализации компьютера он шифровал секторы основного диска, начиная с конечных. Когда вирус оказывается в памяти, он начинает контролировать любые обращения к шифровальным секторам и может расшифровать их таким образом, что все программы будут работать в штатном режиме. Если вирус «OneHalf» просто стереть из памяти и сектора загрузки, то информация, записанная в шифровальном секторе диска, станет недоступной. Когда вирус зашифровывает часть диска, он предупреждает об этом следующей надписью: «Dis is one half, Press any key to continue...». После этих действий он ждет, когда вы нажмете на любую кнопку и продолжите работать. В вирусе «OneHalf» использованы разные маскировочные механизмы. Он считается невидимым вирусом и выполняет полиморфные алгоритмические функции. Обнаружить и удалить вирусный код «OneHalf» весьма проблематично, потому что, его могут увидеть не все антивирусные программы. Вирусы спутники Доподлинно известно, что в операционной системе «MS-DOS» или «Microsoft Windows» разных модификаций есть 3 типа файлов, которые вы можете запустить на исполнение. Это командный или пакетный файл «BAT», а также, уже знакомые нам файлы «COM» и «EXE». Стоит заметить, что один каталог, может содержать несколько файлов, с одинаковым именем, но разным расширением. Когда вы осуществляете запуск программы, вводя её имя в системное приглашение ОС, то вы, чаще всего, не указываете расширение. Какой файл вы запустите, если ваш каталог включает в себя несколько программ с аналогичным названием, но с различным расширением? Как оказалось, в данной ситуации будет запущен файл «COM». Если в настоящем каталоге есть файлы «EXE» и «BAT», то запуститься файл с расширением «EXE». Когда происходит заражение файла «EXE» или «BAT», вирус спутник создает в данном каталоге второй файл с аналогичным именем, но с расширением «COM». Вирусный код копируется в данный «COM» файл. То есть, при инициализации программного обеспечения первым возьмет управление на себя вирус спутник, который в дальнейшем может осуществить запуск программы, но под личным контролем. Вирусы, содержащиеся в пакетах «BAT» Есть множество вирусов, которые заражают пакеты «BAT». Для этого они используют весьма оригинальный метод. Давайте разберем его по примеру вируса «BAT.Batman». Во время заражения пакета в его начальный код вставляется следующий текст: Квадратные скобки, в данном случае [...] показывают местоположение байт. Они представляю собой процессорные инструкции или вирусные данные. Директива «@ECHO OFF» не позволяет выполнимым командам выводиться на дисплей. Строчка, которая начинается с директивы «REM» – это комментарий без интерпретаций. Директива «copy %0 b.com>nul» создает копии зараженного командного файла «B.COM». Далее этот файл инициализируется и стирается с диска, с помощью команды «del b.com». Самым интересным моментом является то, что файл «B.COM», который был создан вирусом, до каждого байта является аналогией зараженного командного файла. То есть, если истолковывать первые 2 строчки зараженного файла «BAT» как программы, такая программа будет включать в себя основные процессорные команды, которые по факту ничего не производят. Основной процессор запускает данные команды и выполняет подлинный вирусный код, который был записан после комментария «REM». Приняв управление на себя, вирусный код перехватывает прерывание операционной системы и инициализируется. Во время популяризации, вирус отслеживает запись файловых данных. Если 1-я строчка, которая записывается в файл, включает в себя директиву «@ECHO», в этом случае вирус полагает, что происходит запись командного файла и заражает её. Шифровальные и полиморфные вирусы Для того чтобы ухудшить обнаружение, некоторые вирусы имеют зашифрованный код. Всякий раз, когда вирусный код поражает программное обеспечение, происходит шифрование собственного кода, с помощью нового ключа. Вследствие этого, 2 экземпляра вирусного кода могут в значительной степени отличаться друг от друга, и даже быть разной длины. Кодовое шифрование вируса усложняет время его обнаружения. Стандартное программное обеспечение не может дизассемблировать данный вирусный код. Разумеется, вирус работает только в той ситуации, когда выполняемый код является незашифрованным. Когда вы осуществляете запуск зараженного программного обеспечения, и вирус берет на себя управление, он расшифровывает собственный код. Для затруднения нахождения вируса, для шифрования используются не просто различные ключи, но и разнообразные шифровальные процессы. Такие вирусы, как правило, не имеют совпадающей кодовой последовательности. Эти вирусы, которые полностью видоизменяют собственный код, называются полиморфными вирусами. | |
Категория: Компьютеры | Добавил: Admin (18.08.2010)
| |
| Просмотров: 268 | Рейтинг: 0.0/0 |
| Всего комментариев: 0 | |
