Stealth vírusok - a
Stealth vírus különböző módszerekkel, hogy elrejtse a jelenlétét a rendszerben. Ismert lopakodó vírusok minden fajta kivételével a Windows vírus - boot vírusok, fájl DOS vírusok és makróvírusok, sőt. A kialakult egy lopakodó vírus fertőzi a Windows fájlokat, valószínűleg idő kérdése.
Stealth vírusok, hogy elrejtse a kódot két alapvető módon. Ezek közül az első az, hogy a vírus elfogja parancsokat olvasni a fertőzött szektor (ok 13h), és kicseréli az eredeti, nem fertőzött. Ez a módszer a vírus láthatatlan DOS-programok, beleértve az anti-vírus, nem tudja „kezelni” a számítógép memóriájában. Lehetséges lehallgatása szektorok parancsokat olvas alacsonyabb szinten, mint az INT 13h.
A második módszer ellen irányul, anti-vírus, támogatja a közvetlen szektor olvasható parancs a merevlemez-vezérlő port. Az ilyen vírusok, amikor elkezdi bármilyen program (beleértve az anti-vírus) fertőzött visszaállítani az ágazatban, és miután a végén a dolgozó fertőzik újra a lemezt. Mivel ez a vírus van szükség, hogy elkapjam a kezdetét és végét a program, azt is elfogják DOS-megszakítás INT 21h.
A legtöbb fájl lopakodó vírusok ugyanazt a technikát, hogy a fent felsorolt: vagy a DOS-lefoglaló felhívja a fájlok elérése (INT 21h), vagy ideiglenesen gyógyítja a fájlt, amikor megnyitja, és megfertőzi a zárás napján. Csakúgy, mint a boot vírusok, fájl vírusok léteznek, az annak lopakodó funkciókat, hogy elkapjam megszakítani egy alacsonyabb szinten - DOS meghajtó hívások, INT 25h, 13h és még INT.
Minden fájl lopakodó vírusok segítségével az első módszer, hogy elrejtse a kódot, a legtöbbjük meglehetősen nehézkes, mivel meg kell fogni a nagyszámú DOS-funkciók működnek fájlok: nyitó és záró, írható-olvasható, keresés, fut, átnevezés, stb és annak szükségességét, hogy mindkét változata egyes kihívások (FCB / ASCII), és az Advent a Windows 95 / NT is meg kell kezelni egy harmadik lehetőség - a funkciók dolgozni hosszú fájlneveket.
Egyes vírusok egy részét a funkcióját egy teljes értékű „lopakodó” -virusa. Leggyakrabban ezek vevőműködés DOS FindFirst és FindNext (INT 21h, AH = HH, 12h, 4Eh, 4Fh), és csökkenti a méretét a fertőzött fájlokat. Egy ilyen vírus nem lehet meghatározni a fájl mérete változás, persze, ha ő a memóriában. Programok, amelyek nem vonatkoznak a megadott DOS funkciók (például a Norton Utilities), és közvetlenül használja a tartalmát a szektorok tárolására könyvtár, mutasd meg a helyes hosszát fertőzött fájlokat.
Végrehajtása algoritmusok lopakodó makró vírus talán a legegyszerűbb feladat - éppen elég letiltani hívó Fájl / Sablonok vagy az Eszközök / Makró menüben. Ezt úgy érjük el, eltávolítjuk a menüpontok a listából, vagy helyettesítés makrók FileTemplates és Makro.
Része lopakodó vírusok lehet nevezni egy kis csoportja a makró vírusok, amelyek tárolja a fő kód nem a makró, mint más területeken a dokumentum - a maga változó, vagy Auto-szöveget.