авантажувальні віруси
Завантажувальні віруси заражають завантажувальний (boot) сектор гнучкого диска і boot-сектор або Master Boot Record (MBR) вінчестера. Принцип дії завантажувальних вірусів заснований на алгоритмах запуску операційної системи при включенні або перезавантаженні комп'ютера: після необхідних тестів встановленого обладнання (пам'яті, дисків) програма системної завантаження зчитує перший фізичний сектор завантажувального диска і передає управління на A:, C: або CD-ROM, залежно від параметрів, встановлених у BIOS Setupe.
У разі дискети або CD-диска управління отримує boot-сектор диска, який аналізує таблицю параметрів диска, вираховує адреси системних файлів операційної системи, зчитує їх пам'ять і запускає на виконання. Якщо на завантажувальному диску відсутні файли операційної системи, програма, розташована в boot-секторі диска, видає повідомлення про помилку і пропонує замінити завантажувальний диск.
У разі вінчестера управління отримує програма, розташована в MBR вінчестера. Вона аналізує таблицю розбиття диска (Disk Partition Table), обчислює адресу активного boot-сектора (Зазвичай цим сектором є boot-сектор диска С :), завантажує його в пам'ять і передає на нього управління. Одержавши керування, активний boot-сектор вінчестера проробляє ті ж дії, що і boot-сектори дискети.
При зараженні дисків завантажувальні віруси підставляють свій код замість якої-небудь програми, що одержує управління при завантаженні системи. Принцип зараження: вірус "змушує" систему при перезапуску вважати в пам'ять і віддати управління не оригінальному коду завантажувача, а коду вірусу.
Зараження дискет здійснюється єдиним відомим способом: вірус записує свій код замість оригінального коду boot-сектора дискети.
Вінчестер заражається трьома можливими способами: вірус записується або замість коду MBR, або замість коду boot - сектори завантажувального диска (зазвичай С :), або модифікує адресу активного boot-сектора в Disk Partition Table, розташований в MBR вінчестера. p> Алгоритм роботи завантажувального вірусу.
Практично всі завантажувальні віруси резидентні. Вони впроваджуються в пам'ять комп'ютера при завантаженні з інфікованого диска. При цьому системний завантажувач зчитує вміст першого сектора диска, з якого проводиться завантаження, поміщає зчитану інформацію в пам'ять і передає на неї (тобто на вірус) управління. Після цього починають виконуватися інструкції вірусу, який:
як правило, зменшує обсяг вільної пам'яті, копіює в звільнилося місце свій код і зчитує з диска своє продовження (якщо воно є);
перехоплює необхідні вектори переривань, зчитує в пам'ять оригінальний boot-сектор і передає на нього управління.
Надалі завантажувальний вірус веде себе так само, як резидентний файловий: перехоплює звернення операційної системи до дисків і інфікує їх, залежно від деяких умов здійснює деструктивні дії або викликає звукові або відеоефекти.
Існують і нерезидентні завантажувальні віруси. При завантаженні вони заражають MBR вінчестера та дискети, якщо ті присутні в дисководі. Потім такі віруси передають управління оригінальному завантажувачу і на роботу комп'ютера більше не впливають.
2.3 Макровіруси
Макровіруси є програмами на мовах (макромови), вбудованих в деякі системи обробки даних (текстові редактори, електронні таблиці). Для свого розмноження такі віруси використовують можливості макромов та їх допомоги переносять себе з одного файлу (документа або таблиці) в інші. Найбільшого поширення набули макровіруси для Microsoft Word, Excel і Office 97. p> Для існування вірусів у конкретній системі необхідна наявність вбудованого в систему макромови з можливостями:
прив'язки програми на макромові до конкретного файлу;
копіювання макропрограми з одного файлу в іншій;
одержання керування макропрограми без втручання користувача (автоматичні або стандартні макроси).
Алгоритм роботи Word-макровірусу
Більшість відомих Word-макровірусів при запуску переносять свій код (макроси) в область глобальних макросів документа, для цього вони використовують команди копіювання макросів MacroCopy, Organizer. Copy або за допомогою редактора макросів. Вірус викликає його, створює новий макрос, вставляє в нього свій код, який і зберігає в документі.
При виході з Word глобальні макроси автоматично записуються в DOT-файл глобальних макросів (зазвичай це NORMAL. DOT). Таким чином, при наступному запуску Word-вірус активізується в той момент, коли WinWord вантажить глобальні макроси.
Потім вірус перевизначає один або кілька стандартних макросів і перехоплює команди роботи файлами. При виклику цих команд вірус заражає файл, до якого йде звернення. Для цього вірус конвертує файл у формат Template (що робить неможливим подальше зміна формату файлу) записує у файл свої макроси, включаючи а...
