Hogyan és hol található a vírus, a j3qx
Hogyan és hol található a vírus
A rendszerindító vírus észlelése
A rendszerindító szektorok találhatók, mint általában, a kis programok, amelynek az a célja, hogy meghatározza a méretét és határait logikai meghajtók (az MBR), vagy egy boot operációs rendszer (boot-sector).
Kezdetben olvassa el az ágazat tartalmát, amely gyanús a vírus jelenlétéről. Ebből a célból célszerű DISKEDIT-t használni a "Norton utilities" -ból vagy az AVPUTIL-ból a professzionális AVP csomagból.
Néhány boot vírusok mutatható szinte azonnal a jelenléte számos szöveges adatsort (például „Stoned” vírus tartalmazza a következő sorokat: „A PC most Stoned!”, „Legalizálni marihuána”). Egyes vírusok fertőzésére boot lemezszektorokat, ezzel szemben határozza meg hiányában vonalak jelen kell lennie a boot-szektor. Ezek a sorok tartalmazzák a rendszerfájlok nevét (például az "IO SYSMSDOS SYS" karakterláncot) és a hibaüzeneteket. A hiánya vagy módosíthatja a fejlécben-boot-szektor (a string, amely a verziószámát DOS vagy a gyártó neve szoftver, például „MSDOS5.0” vagy „MSWIN4.0”) is lehet a jele, vírusfertőzés, ha nem azon a számítógépen telepített Windows95 / NT - ezek a rendszerek valamilyen okból ismeretlen számomra, véletlenszerű sorokat írnak a hajlékonylemezek indító szektoraiban.
Szabványos MS-DOS boot loader található a MBR-t, kisebb helyet foglal, mint a fele az ágazatban, és sok vírus megfertőzheti az MBR-t, egyszerűen által látott növekedése kód hosszát, amelynek székhelye az MBR szektorban.
Vannak azonban olyan vírusok, amelyeket a betöltőbe beinjektálnak, anélkül, hogy módosítanák a szöveges karakterláncokat, és minimális változtatásokat hajtottak volna végre a rendszerbetöltő kódon. Észlelni, mint egy vírus, a legtöbb esetben a méret elég lemezt egy ismert fertőzött számítógépen, mentse el a fájlt boot-sector, majd egy kis időt, hogy használja azt a fertőzött számítógépen (író / olvasó több fájl), majd egy nem fertőzött gépen összehasonlítani a boot szektor az eredeti. Ha a rendszerindító szektor kódja megváltozik, a vírust elkapják.
Ezek az érvek a tényen alapul, hogy a standard rakodógépek (programok, rögzített operációs rendszer boot szektor) végrehajtja szabványos operációs rendszer boot algoritmusok és végrehajtása megfeleljen a szabványoknak. Ha a meghajtó formázása közművek, nem része a DOS (például Disk Manager), akkor a vírus észlelésére bennük kell elemezni, és az algoritmus végrehajtása rakodók által termelt ez a típus.
Fájlvírus észlelése
Mint már említettük, a vírusokat rezidens és nem rezidensekre osztják. Az eddig tapasztalt rezidens vírusok sokkal ravaszabbak és kifinomultabbak, mint a nem rezidensek. Tehát először vegyük fontolóra a legegyszerűbb esetet - a számítógép vereségét egy ismeretlen, nem rezidens vírus által. Egy ilyen vírus aktiválódik, amikor elkezd bármely fertőzött programot, mindent megtesz azért állítólag szerint a gazda program jövőbeli (ellentétben rezidens vírusok) nem zavarja a munkáját. Az ilyen vírus észleléséhez össze kell hasonlítanod a fájlok hosszát a merevlemezen és a disztribúciós másolatokon (az ilyen példányok tárolásának fontosságáról már elterjedt). Ha ez nem segít, akkor hasonlítsa össze a terjesztési másolatokat a byte byte-val a használt programok segítségével. Jelenleg sok segédprogramot fejlesztettek ki ilyen fájlok összehasonlítására, a legegyszerűbb (COMP-segédprogram) a DOS-ban található.
Vannak még egy módja a vírussal fertőzött DOS fájl vizuális azonosítására. Ez azon alapul, hogy a futtatható fájlok, amelyek forráskódja magas szintű nyelven íródott, bizonyos szerkezettel rendelkeznek. Abban az esetben, Borland és a Microsoft C / C ++ kód szegmens elején a fájlt, és közvetlenül mögötte - adatszegmensben, és az elején ebben a szegmensben kell vonali szerzői fordító gyártó. Ha az ilyen fájlok dumpját az adatszegmens mögött egy másik kód követi, valószínű, hogy a fájl vírussal fertőzött.
Ugyanez igaz a legtöbb Windows-os és OS / 2-es fájlra is. Az operációs rendszerek futtatható fájlaiban a standard elhelyezés a következő sorrendben történik: a kódszegmens (ek), majd az adatszegmensek. Ha az adatszegmens mögött van egy másik kódszegmens, akkor is jelzésként szolgálhat a vírus jelenlétére.
Meg kell jegyezni, hogy a rezidens DOS-blokkolók gyakran tehetetlenek, ha dolgozik a DOS-ablak alatt Windows95 / NT, mert Windows95 / NT lehetővé teszi, hogy a vírus „körül” dolgoznak blokkolók (mint, sőt, és minden más rezidens programok). A DOS-szekrények nem tudják megakadályozni a Windows vírusok terjedését.
A fájl- és indítóvírusok felderítésének fenti módszerei mind a rezidens, mind a nem-rezidens vírusok többségére alkalmasak. Azonban ezek a módszerek nem működnek, ha a vírust titkolt technológiával hajtják végre, ami feleslegessé teszi a rezidens blokkolók többségének használatát, a fájlok összehasonlító segédprogramjait és a szektorok olvasását.
A makró vírusok tipikus megnyilvánulása a következő:
Szó: a fertőzött Word-dokumentumnak egy másik formátumba történő konvertálására való képtelenség.
Szó: a fertőzött fájlok formátuma Sablon (sablon), mert amikor Word-vírusokat fertőznek meg, a fájlokat a Word dokumentumformátumból Sablonra konvertálja.
Csak Word 6: az a képtelenség, hogy egy dokumentumot írjon egy másik könyvtárba / másik lemezre a "Mentés másként" paranccsal.
Excel / Word: a STARTUP könyvtárban vannak "idegen" fájlok.
Excel 5. és 7. verzió: a könyvben található extra és rejtett lapok jelenléte.
A rendszer ellenőrzése a vírus jelenlétéhez használhatja az Eszközök / Makró menüpontot. Ha "külföldi makrókat" talál, akkor a vírushoz tartoznak. Ez a módszer azonban nem működik olyan lopakodó vírusok esetében, amelyek megtiltják ennek a menüpontnak a működését, ami viszont elegendő ok a rendszer megfertőzésére.
Számos vírus hibát vagy helytelenül működik a Word / Excel különböző verzióiban, ami a Word / Excel hibaüzeneteket eredményez, például:
WordBasic Err = hibaszám
Ha ilyen üzenet jelenik meg új dokumentum vagy táblázat szerkesztésekor, és nem ismert felhasználói makrók használata, ez a rendszer fertőzésének jele lehet.
A vírussal kapcsolatos jelzés a Word, Excel és Windows fájlok és rendszerkonfigurációinak változásai. Számos vírus megváltoztatja az Eszközök / Opciók menüelemeket egyik vagy másik módon - engedélyezi vagy tiltja a "Normál sablon mentése", "Gyors mentés engedélyezése", "Vírusvédelem" funkciókat. Egyes vírusok a fertőzött fájloknál telepítenek egy jelszót a fájlokra. Számos vírus új szakaszokat és / vagy opciókat hoz létre a Windows konfigurációs fájlban (WIN.INI).
Egy rezidens vírus kimutatása
Ha a számítógépen a vírus nyomai jelennek meg, de a lemezek fájlrendszerében és rendszerszektorában nem látszanak látható változtatásokat, teljesen lehetséges, hogy
a számítógépet az egyik lopakodó vírus támadja meg. Ebben az esetben a DOS biztonsági másolatát tartalmazó vírusmentes hajlékonylemezt kell betöltenie, és nem rezidens vírusként kell működnie. Néha azonban ez nemkívánatos, és bizonyos esetekben lehetetlen (például olyan esetekben, amikor új vírusokkal fertőzött számítógépek beszerzésére kerül sor). Ezután fel kell deríteni és semlegesíteni a vírus rezidens részét, amelyet a technológia "lopakodó" módon végez. Felmerül a kérdés: hol van a memória és hogyan kereshet vírust vagy annak lakóit? A memória megfélemlítésének számos módja van.
1. A vírus behatolhat a megszakítási vektorok táblájába
Ha van vírus a megszakítási vektorok táblázatban, akkor a memóriaelosztási térképet megjelenítő segédprogramok (például AVPTSR.COM, AVPUTIL.COM) elkezdenek hangot adni.
3.1. Táblázat. A nem fertőzött memória elosztási térképe
3.2. Táblázat. A megszakítási vektorok táblázatát a vírus befolyásolja
2. A vírus képes integrálni többféleképpen DOS: egy tetszőleges rendszer vezető, a vágólapra, DOS, a másik munkaterületre (például egy rendszer verem régióban vagy egy szabad hely, és a DOS BIOS táblázatok)
A rendszerpufferbe ágyazott vírusnak csökkentenie kell a pufferek teljes számát; ellenkező esetben a lemezt követő olvasási műveletek elpusztítják. Ez elég könnyű, hogy írjon egy programot, amely megszámolja, pufferek ténylegesen jelen van a rendszerben, és összehasonlítja az eredményt a ÜTKÖZŐK parancs értékét, fájlban található CONFIG.SYS (ha ÜTKÖZŐK parancs hiányzik, az érték által alapértelmezés szerint használt DOS).
3. A vírus a program területére behatolhat:
külön rezidens program vagy különálló memóriablokk (MCB);
belül vagy "beilleszteni" minden rezidens programhoz.
3.3.a. táblázat Vírus a felhasználói programok területén
3.3.b. táblázat A vírus a felhasználói programok területén (UMB)
4. A vírus behatolhat a DOS-hoz rendelt memória határába
Figyelem! A RAM kapacitása 1 vagy több kilobájtra csökkenthető, és a bővített memória vagy a vezérlők bizonyos típusa miatt. Ugyanakkor a következő kép jellemző: a "cut off" szakaszban a legtöbb bájt tartalma nulla.
5. A vírus beépíthető speciális, ismert memória-rezidens programokra vagy "ragasztva" a már meglévő memóriablokkokba
Valószínűleg fertőzött DOS fájl vírus rezidens (például io.sys, MSDOS.SYS, COMMAND.COM) betöltött vezető (ANSY.SYS, COUNTRY.SYS, RAMDRIVE.SYS), és mások. Hogy úgy érzékeli, vírus sokkal nehezebb, mert az alacsony sebességét, de az ilyen vírus támadásának valószínűsége sokkal kisebb. Egyre elkezdtek randizgatni „trükkös” vírusok amelyek módosítják a fejlécek memória blokkok vagy a „csaló” DOS úgy, hogy a blokk-kódok a vírussal eggyé válik az előző memória blokk.
Vannak olyan ismert vírusok, amelyek nem használnak megszakításokat fájlok vagy lemezek fertőzésekor, de közvetlenül a DOS erőforrásokkal dolgoznak. Hasonló vírus keresése esetén alaposan meg kell vizsgálni a fertőzött DOS belső szerkezetének változásait: az illesztőprogramok listáját, fájltáblákat, DOS-kötegeket stb. Ez egy nagyon gondos munka, és a DOS sok változatának köszönhetően nagyon magas szintű felhasználói készségeket igényel.
A rezidens Windows vírus észlelése rendkívül nehéz. A vírus gyakorlatilag a Windows környezetben, mint alkalmazás vagy VxD-dwiver
Láthatatlan, mert több tucat alkalmazás és VxD aktív ugyanakkor, és a vírus semmiben sem különbözik a külső attribútumoktól. A vírus program észlelése az aktív alkalmazások és a VxD listákban alaposan meg kell értenie a Windows "belsejét", és teljes mértékben meg kell értenie a számítógépen telepített illesztőprogramokat és alkalmazásokat.
Ezért a rezidens Windows vírus egyetlen elfogadható módja a DOS betöltése és a Windows indítási fájlok ellenőrzése a fent leírt módszerek segítségével.