х дискет. Як правило, віруси здатні заражати не тільки завантажувальні сектори дискет, а й завантажувальні сектори вінчестерів. При цьому на відміну від дискет на вінчестері є два типи завантажувальних секторів, містять програми початкового завантаження, які отримують управління. При завантаженні комп'ютера з вінчестера перший бере на себе управління програма початкового завантаження в MBR (Master Boot Record - головний завантажувальний запис). Якщо ваш жорсткий диск розбитий на кілька розділів, то лише один з них позначений як завантажувальний (boot). Програма початкового завантаження в MBR знаходить завантажувальний розділ вінчестера і передає управління на програму початкового завантаження цього розділу. Код останньої збігається з кодом програми початкового завантаження, що міститься на звичайних дискетах, а відповідні завантажувальні сектори відрізняються тільки таблицями параметрів. Таким чином, на вінчестері є два об'єкти атаки завантажувальних вірусів - програма початкового завантаження в MBR і програма початкового завантаження в бут-секторі завантажувального диска.
. 4 Файлові віруси
Розглянемо тепер схему роботи простого файлового вірусу. На відміну від завантажувальних вірусів, які практично завжди резидентні, файлові віруси не обов'язково резидентні. Розглянемо схему функціонування нерезидентного файлового вірусу. Нехай у нас є інфікований виконуваний файл. При запуску такого файлу вірус отримує управління, виробляє деякі дії і передає управління «хазяїну».
Які ж дії виконує вірус? Він шукає новий об'єкт для зараження - підходящий на кшталт файл, який ще не заражений. Заражаючи файл, вірус впроваджується в його код, щоб отримати управління при запуску цього файлу. Окрім своєї основної функції - розмноження, вірус цілком може зробити що-небудь хитромудре (сказати, запитати, зіграти) - це вже залежить від фантазії автора вірусу. Якщо файловий вірус резидентний, то він встановиться в пам'ять і отримає можливість заражати файли і проявляти інші здібності не тільки під час роботи зараженого файлу. Заражаючи виконуваний файл, вірус завжди змінює його код - отже, зараження виконуваного файлу завжди можна виявити. Але, змінюючи код файла, вірус не обов'язково вносить інші зміни:
він не зобов'язаний змінювати довжину файлу
невикористовувані ділянки коду
не зобов'язаний міняти початок файлу
Нарешті, до файлових вірусів часто відносять віруси, які «мають деяке відношення до файлів», але не зобов'язані впроваджуватися в їх код.
Таким чином, при запуску будь-якого файлу вірус отримує управління (операційна система запускає його сама), резидентно встановлюється в пам'ять і передає управління викликаного файлу.
2.5 Завантажувально-файлові віруси
Ми не станемо розглядати модель завантажувально-файлового вірусу, бо ніякої нової інформації ви при цьому не дізнаєтеся. Але тут представляється нагода коротко обговорити вкрай «популярний» останнім часом завантажувально-файловий вірус OneHalf, заражає головний завантажувальний сектор (MBR) і виконувані файли. Основна руйнівна дія - шифрування секторів вінчестера. При кожному запуску вірус шифрує чергову порцію секторів, а, зашифрувавши половину жорсткого диска, радісно повідомляє про це. Основна проблема при лікуванні даного вірусу полягає в тому, що недостатньо просто видалити вірус з MBR і файлів, треба розшифрувати зашифровану ним информацию.
2.6 Поліморфні віруси
Більшість питань пов'язано з терміном «поліморфний вірус». Цей вид комп'ютерних вірусів представляється на сьогоднішній день найбільш небезпечним. Пояснимо ж, що це таке.
Поліморфні віруси - віруси, що модифікують свій код в заражених програмах таким чином, що два примірники одного і того ж вірусу можуть не збігатися ні в одному бите.
Такі віруси не тільки шифрують свій код, використовуючи різні шляхи шифрування, але й містять код генерації шифрувальника і розшифровувача, що відрізняє їх від звичайних шифрувальних вірусів, що можуть шифрувати ділянки свого коду, але мають при цьому постійний код шифрувальника і розшифровувача.
Поліморфні віруси - це віруси з самомодіфіцірующіміся розшифровщик. Мета такого шифрування: маючи заражений і оригінальний файли, ви все одно не зможете проаналізувати його код за допомогою звичайного дизассемблирования. Цей код зашифрований і становить безглуздий набір команд. Розшифровка виробляється самим вірусом вже безпосередньо під час виконання. При цьому можливі варіанти: він може розшифрувати себе всього відразу, а може виконати таку розшифровку «по ходу справи», може знову шифрувати вже відпрацьовані ділянки. Все ...
