align="justify"> 1.4.2 Файлові віруси
Розглянемо тепер схему роботи простого файлового вірусу. На відміну від завантажувальних вірусів, які практично завжди резидентні, файлові віруси можуть бути і нерезидентних. Розглянемо схему функціонування нерезидентного файлового вірусу. Нехай у нас є інфікований виконуваний файл. При запуску такого файлу вірус отримує управління, виробляє деякі дії і передає управління «хазяїну» (хоча ще невідомо, хто в такій ситуації господар).
Які ж дії виконує вірус? Він шукає новий об'єкт для зараження - підходящий на кшталт файл, який ще не заражений (в тому випадку, якщо вірус «пристойний», а то попадається такі, що заражають відразу, нічого не перевіряючи). Заражаючи файл, вірус впроваджується в його код, щоб отримати управління при запуску цього файлу. Окрім своєї основної функції - розмноження, вірус цілком може зробити що-небудь каверзне (сказати, запитати, зіграти) - це вже залежить від фантазії автора вірусу. Якщо файловий вірус резидентний, то він встановиться в пам'ять і отримає можливість заражати файли і проявити інші здібності не тільки під час роботи зараженого файлу. Заражаючи виконуваний файл, вірус, завжди змінює його код - отже, зараження виконуваного файлу завжди можна виявити. Але, змінюючи код файла, вірус не обов'язково вносить інші зміни:
він не зобов'язаний змінювати довжину файлу;
не зобов'язаний міняти невикористовувані ділянки коду;
не зобов'язаний міняти початок файлу;
Нарешті, до файлових вірусів часто відносять віруси, які «мають деяке відношення до файлів», але не зобов'язані впроваджуватися в їх код. Розглянемо як приклад схему функціонування вірусів відомого сімейства Dir-II. Не можна не визнати, що, з'явившись в 1991 році, ці віруси стали причиною справжньої епідемії чуми в Росії. Розглянемо модель, на якій ясно видно основна ідея вірусу. Інформація про файли зберігається в каталогах. Кожен запис каталогу включає в себе ім'я файлу, дату і час створення, деяку додаткову інформацію, номер першого кластера файлу і т.зв. резервні файли.
При запуску виконуваних файлів система зчитує їх записи в каталозі, перший кластер файлу і далі всі інші кластери. Віруси сімейства Dir-II виробляють наступну «реорганізацію» файлової системи: сам вірус записується в деякі вільні сектори диска, які він позначає як збійні. Крім того, він зберігає інформацію про перші кластерах виконуваних файлів в резервних бітах, а на місце цієї інформації записує посилання на себе.
Таким чином, при запуску будь-якого файлу вірус отримує управління, (операційна система запускає його сама) резидентно встановлюється в пам'ять і передає управління викликаного файлу.
1.4.3 Завантажувально-файлові віруси
Ми не станемо розглядати модель завантажувально-файлового вірусу, бо ніякої іншої інформації ви при цьому не дізнаєтеся. Але тут надається зручний випадок коротко обговорити вкрай «популярний» останнім часом завантажувально-файловий вірус One Half, заражає головний завантажувальний сектор (MBR) і виконувані файли. Основна руйнівна дія - шифрування секторів вінчестера. При кожному запуску вірус шифрує основну порцію секторів, а зашифрувавши половину жорсткого диска, радісно повідомляють про це. Основна проблема залучення даного вірусу полягає в тому, що недостатньо просто видалити вірус з MBR і файлів, треба розшифрувати зашифровану ним информацию. Найбільш «смертельна» дія - просто переписати новий здоровий MBR. Головне - не панікуйте. Зважте все спокійно, порадьтеся з фахівцем.
1.4.4 Мережні віруси
До мережевих відносяться віруси, які для свого поширення активно використовують протоколи і можливості локальних і глобальних мереж. Основним принципом мережевого вірусу є можливість самостійно передати свій код на віддалений сервер або робочу станцію. «Повноцінні» мережні віруси при цьому володіють ще і можливістю запустити на виконання свій код на віддаленому комп'ютері або, принаймні, «підштовхнути» користувача до запуску зараженого файлу.
комп'ютерний вірус файловий поліморфний
1.4.5 Поліморфні віруси
Більшість питань пов'язано з терміном «поліморфні віруси». Цей вид комп'ютерних вірусів представляється собою на сьогоднішній день найбільш небезпечними. Пояснимо ж, що це таке.
Поліморфні віруси - віруси, що модифікують свій код в заражених програмах таким чином, що два примірники одного і того ж вірусу можуть не збігатися ні в одному виді.
Такі віруси не тільки шифрують свій код, використовуючи різні шляхи шифрування, але й містять код генерації шифровка і розшифровка, що відрізняє їх від звичайних шифрувальних...
