47 Загрузочные и файловые вирусы.
Дисциплина «Информационная безопасность»
Файловые вирусы
Исторически файловые вирусы появились раньше вирусов других типов, и первоначально распространялись в среде операционной системы MS-DOS. Внедряясь в тело файлов программ COM и EXE, вирусы изменяют их таким образом, что при запуске управление передается не зараженной программе, а вирусу. Вирус может записать свой код в конец, начало или середину файла. Вирус может также разделить свой код на блоки, поместив их в разных местах зараженной программы.
Получив управление, вирус может заразить другие программы, внедриться в оперативную память компьютера и выполнить другие вредоносные функции. Далее вирус передает управление зараженной программе, и та исполняется обычным образом. В результате пользователь, запускающий программу, и не подозревает, что она заражена.
Заметим, что файловые вирусы могут заражать не только программы COM и EXE, но и программные файлы других типов, драйверы SYS, библиотеки динамической компоновки DLL, а также любые файлы с программным кодом. Разработаны файловые вирусы не только для MS-DOS, но и для других ОС, таких как Microsoft Windows, Linux, IBM OS/2. Однако подавляющее большинство вирусов данного типа обитает именно в среде ОС MS-DOS и Microsoft Windows.
Современные программы занимают немалый объем и распространяются, как правило, на компакт-дисках. Устанавливая программу с лицензионного компакт-диска, Вы обычно не рискуете заразить свой компьютер вирусом. Другое дело — пиратские компакт-диски. Здесь ни за что ручаться нельзя (хотя известны примеры распространения вирусов и на лицензионных компакт-дисках). В результате сегодня файловые вирусы уступили пальму первенства по популярности вирусам других типов.
Загрузочные вирусы
Загрузочные вирусы получают управление на этапе инициализации компьютера, еще до начала загрузки операционной системы. Чтобы понять, как они работают, нужно вспомнить последовательность инициализации компьютера и загрузки операционной системы.
Сразу после включения питания компьютера начинает работать процедура проверки POST (Power On Self Test), записанная в BIOS. В ходе проверки определяется конфигурация компьютера и проверяется работоспособность основных его подсистем. Затем процедура POST проверяет, вставлена ли дискета в дисковод A:. Если дискета вставлена, то дальнейшая загрузка операционной системы происходит с дискеты. В противном случае загрузка выполняется с жесткого диска.
При загрузке с дискеты процедура POST считывает с нее загрузочную запись (Boot Record, BR) в оперативную память. Эта запись всегда расположена в самом первом секторе дискеты и представляет собой маленькую программу. Кроме программы BR содержит структуру данных, определяющую формат дискеты и некоторые другие характеристики. Затем процедура POST передает управление BR. Получив управление, BR приступает непосредственно к загрузке операционной системы.
При загрузке с жесткого диска процедура POST считывает главную загрузочную запись (Master Boot Record, MBR) и записывает ее в оперативную память компьютера. Эта запись содержит программу первоначальной загрузки и таблицу разделов, в которой описаны все разделы жесткого диска. Она хранится в самом первом секторе жесткого диска.После чтения MBR управление передается только что прочитанной с диска программе первоначальной загрузки. Она анализирует содержимое таблицы разделов, выбирает активный раздел и считывает загрузочную запись BR активного раздела. Эта запись аналогична записи BR системной дискеты и выполняет те же самые функции.
При заражении дискеты или жесткого диска компьютера загрузочный вирус заменяет загрузочную запись BR или главную загрузочную запись MBR. Исходные записи BR или MBR при этом запись обычно не пропадают. Вирус копирует их в один из свободных секторов диска.
Таким образом, вирус получает управление сразу после завершения процедуры POST. Затем он, как правило, действует по стандартному алгоритму. Вирус копирует себя в конец оперативной памяти, уменьшая при этом ее доступный объем. После этого он перехватывает несколько функций BIOS, так что обращение к ним передает управление вирусу. В конце процедуры заражения вирус загружает в оперативную память компьютера настоящий загрузочный сектор и передает ему управление. Далее компьютер загружается как обычно, но вирус уже находится в памяти и может контролировать работу всех программ и драйверов.
Do'stlaringiz bilan baham: |