Предыдущая страница реферата | 11  12  13  14  15  16  17  18  19  20  21 | Следующая страница реферата

не найден и ЕХЕ-файл, DOS попробует обнаружить ВАТ (пакетный)

файл. Другими словами, когда пользователь хочет за-

пустить программу и набирает в командной строке только ее имя, первым управление получает вирус, код которого находится в СОМ-файле. Он создает
СОМ-файл еще к одному или нескольким ЕХЕ-файлам (распространяется), а затем исполняет ЕХЕ-файл с указанным в командной строке именем. Пользователь же думает, что работает только запущенная ЕХЕ-программа. Вирус-спутник обезвредить довольно просто - достаточно удалить СОМ-файл.

Вирусы второго типа действуют более тонко. Имя инфицируемого

ЕХЕ-файла остается прежним, а расширение заменяется каким-либо

другим, отличным от исполняемого (СОМ, ЕХЕ и ВАТ), Например,

файл может получить расширение DAT (файл данных) или OVL (программный оверлей). Затем на место ЕХЕ-файла копируется вирусный

код. При запуске такой инфицированной программы управление полу-

чает вирусный код, находящийся в ЕХЕ-файле. Инфицировав еще один

или несколько ЕХЕ-файлов таким же образом, вирус возвращает оригинальному файлу исполняемое расширение (но не ЁХЕ, а СОМ, поскольку ЕХЕ-файл с таким именем занят вирусом), после чего исполняет его. Когда работа инфицированной программы закончена, ее

запускаемому файлу возвращается расширение неисполняемого. Лечение файлов, зараженных вирусом этого типа, может быть затруднено,

если вирус-спутник шифрует часть или все тело инфицируемого файла,

а перед исполнением его расшифровывает.
Вирусы, внедряющиеся в программу (Parasitic)
Вирусы этого вида самые незаметные: их код записывается в инфицируемую программу, что существенно затрудняет лечение зараженных файлов. Рассмотрим методы внедрения ЕХЕ-вирусов в ЕХЕ-файл.
Способы заражения ЕХЕ-файлов

Самый распространенный способ заражения ЕХЕ-файлов такой: в конец файла дописывается тело вируса, а заголовок корректируется (с сохранением оригинального) так, чтобы при запуске инфицированного файла

управление получал вирус. Похоже на заражение СОМ-файлов, но вместо задания в коде перехода в начало вируса корректируется собственно

адрес точки запуска программы. После окончания работы вирус берет из

сохраненного заголовка оригинальный адрес запуска программы, прибавляет к его сегментной компоненте значение регистра DS или ES (полученное при старте вируса) и передает управление на полученный адрес.

Второй способ таков - внедрение вируса в начало файла со сдвигом кода программы. Механизм заражения такой: тело инфицируемой программы

считывается в память, на ее место записывается вирусный код, а после

него - код инфицируемой программы. Таким образом, код программы

как бы "сдвигается" в файле на длину кода вируса. Отсюда и название

способа - "способ сдвига". При запуске инфицированного файла вирус

заражает еще один или несколько файлов. После этого он считывает

в память код программы, записывает его в специально созданный на

диске временный файл с расширением исполняемого файла (СОМ или

Рекомендуем скачать другие рефераты по теме: реферат менеджмент, вопросы и ответы.



Предыдущая страница реферата | 11  12  13  14  15  16  17  18  19  20  21 | Следующая страница реферата

Поделитесь этой записью или добавьте в закладки