Истории о вирусах
         

Способы внедрения СОМ-вирусов


Рассмотренный вирус дописывался в конец файла, а в начало файла

вписывал переход на себя. Существуют и другие способы внедрения

вирусов.

Рассмотрим два варианта внедрения СОМ-вируса в начало файла.

Вариант первый. Вирус переписывает начало программы в конец файла,

чтобы освободить место для себя. После этого тело вируса записывает-

ся в начало файла, а небольшая его часть, обеспечивающая перенос вы-

тесненного фрагмента программы, на прежнее место - в конец. При вос-

становлении первоначального вида программы тело вируса будет

затерто, поэтому код вируса, восстанавливающий программу, должен

находиться в безопасном месте, отдельно от основного тела вируса.

Этот способ внедрения изображен на рис. 1.3.


Рис. 1.3.

При загрузке зараженного таким способом файла управление получит



вирус (так как он находится в начале файла и будет загружен с адреса

OlOOh). После окончания работы вирус передает управление коду, пере-

носящему вытесненную часть программы на прежнее место. После вос-

становления (в памяти, не в файле) первоначального вида программы,

она запускается. Схема работы вируса изображена на рис. 1.4.

Второй вариант отличается от первого тем, что вирус, освобождая для

себя место, сдвигает все тело программы, а не переносит ее часть в ко-

нец файла. Этот способ внедрения изображен на рис. 1.5.

После запуска зараженной программы, как и в предыдущем случае,

управление получает вирус. Дальнейшая работа вируса отличается

только тем, что часть вируса, восстанавливающая первоначальный вид


программы, переносит к адресу OlOOh все тело программы, а не только

вытесненную часть. Схема работы вируса, заражающего файл таким

образом, приведена на рис. 1.6.

Существуют разновидности вирусов, не дописывающие часть своего

тела в конец файла. К примеру, вирус может внедряться в середину

файла. В этом случае алгоритм работы вируса является смесью алгорит-

мов одного из двух только что описанных вирусов и вируса, описанно-

го в разделе "Простейший СОМ-вирус".




Содержание раздела






Forekc.ru
Рефераты, дипломы, курсовые, выпускные и квалификационные работы, диссертации, учебники, учебные пособия, лекции, методические пособия и рекомендации, программы и курсы обучения, публикации из профильных изданий