вірусу, Який заразивши его. Ця величина звет довжина вірусу и вимірюється звічайна у байтах. У більшості віпадків віруси пишуться на мові асемблера, Інколи на мовах високого уровня (Pascal, C ТОЩО). У Першому випадка довжина вірусів порівняно невелика (SillyCR.76 - мабуть, світовий рекордсмен малих резидентних вірусів, что зберігає працездатність інфікованої програми, має Довжину у 76 байт), у іншому - может буті у декілька десятків Кбайт (MiniMax - 31125 байт). Цікаво, что існують віруси (DICHOTOMY), Які при зараженні записують части свого тела у дві різніх файли (296 + 567 байт).
Рис. 5. Схема Дії файлового вірусу
Важлива характеристикою вірусів є здатність багатьох з них залішатісь у пам яті комп ютера после запуску інфікованого файлу. Такі віруси назівають резидентність. Зрозуміло, что резідентні віруси уражають файли набагато Частіше чем нерезідентні.
Бутові віруси заражають Boot-сектор вінчестера або дискет. Механізм заражених цімі вірусамі уявлень на рис. 6. Вірус запісує качан свого тела до Boot-сектора, а Решт у Вільні (Інколи зайняті) кластери, помічаючі їх як погані. Туди ж вірус пріміщує такоже и Справжній Запис Boot-сектора, щоб потім Передат Йому управління. За своєю природою бутові віруси всегда резідентні.
Рис. 6. Схема Дії бутового вірусу
Останнім годиною з'явились ОКРЕМІ віруси, Які заражають и Boot-сектор (або Master Boot записи) i файли. Такі віруси ЗВУТ файлово-бутовий (Multi-Partite Viruses). Прикладом таких, поки що очень рідкіх вірусів, є вірус One_Half, что розглядається далі.
Крім того є віруси, Механізм заражених якіх Суттєво відрізняється від Розглянуто вищє механізмів. Першів таким вірусом БУВ вірус DIR. Цей вірус НЕ заражував віконувані файли, а лишь змінював у каталогах посилання на агентство качан файлу-жертви, так щоб воно тепер Вказував на Тіло вірусу, Який містівся в єдиному екземплярі на всьому диску. Таким чином при запусканні будь-якої зараженої програми вірус одержував управління дере, а после відпрацювання передаючи управління запущеній Програмі. Схема Дії вірусу DIR приводитися на рис. 7.
Рис. 7. Схема Дії вірусу DIR
Сучасні віруси застосовують найрізноманітніші засоби, з метою утрудніті роботові по їх виявленості, Розшифрування та знешкодженню.
У поліморфні віруси (Self-Encrypting Polymorphic Viruses) встроюються так звані поліморфні генератори вірусніх шіфрувальніків та розшіфрувальніків (MtE - MuTation Engine - Механізми Утворення поліморфніх Копій), Які змінюють їх коди з годиною. Значний частина СУЧАСНИХ вірусів вікорістовує так званні Stelh-технологію (за аналогією Із назв відомого літака). ЦІ віруси-невидимки самоліквідуються при спробі дослідження їх помощью відповідніх ЗАСОБІВ (відлагоджувачі та трасувальнікі), видають інформацію, начебто Ураження комп'ютер НЕ має інфекції и т.п. Так, Вже одне Із Першів вірусів BRAIN при спробі проглядання заражених Boot-сектора виводами НЕ свое Тіло, что знаходиься там, а Справжній НЕ інфікованій запис. Вірус DARK AVENGER підправляв дію командою DIR операційної системи так, щоб довжина заражених ним файлу виводу без урахування довжина вірусу, тобто справлялося враження, что файл не інфікованій.
Віруси-супутники (Companion Viruses) вместо заражених існуючого EXE-файлу, утворюють новий файл, Який має теж самє ім'я, но інше Розширення (COM). Сам вірус буде знаходітісь у знов Утворення файлі. Напpіклад, для файлу EDIT.EXE буде Утворення файл EDIT.COM и сам вірус буде знаходітісь в последнего файлі. Пpи спробі запуску EXE-пpогpамі з командного рядка, вместо потрібної програми буде запущена знов утворена, з вірусом. После ее відпрацювання буде запущена потрібна програма (EXE).
На ранніх етапах розвитку віруси заражали лишь віконувані файли типом COM та EXE. Інфекцій спектр файлів, что могут зазнаваті атаки з боці вірусів значний розшірівся. Відмітімо, что існують віруси, Які могут заражаті файли в архівах (типу ARJ, ZIP ТОЩО), файли-документи (типу DOC), что утворені відомим Текстовий процесор WinWord (6 версия та вищє) фірми MicroSoft.
Деякі віруси залішаються у пам яті ПК после теплого Перезавантаження (Ctrl + Alt + Del). Більше того, при спробі Завантажити чисту операційну систему з пристрою A: після холодного запуску, тобто после натіскання кнопки Reset або вімкнення/Увімкнення комп ютера, ві можете несподівано віявіті, что у его пам яті Вже находится вірус. Саме Такі возможности мают віруси EXEBUG та MAMMOTH, Які відключають у CMOS и наявність дисководу A :, что виробляти до завантаження зараженої системи з диску C :. При цьом вірус імітує, начебто завантаження відбувається самє з гнучкого диска. Если ж на зараженій машині ві звернетесь до дисководу A :, то ВІН буде тимчасово включень. У порівнянні з такими монстрами змінювання системного годині в CMOS'і Деяк вірусамі Виглядає як безневинна забава!
І После...
