Има разделение на полиморфни вируси на нива, в зависимост от сложността на кода, който се намира в разшифроването на тези вируси. Такова разделение беше предложена от д-р Алън Соломон, след известно време Веселин Бончев го разширява.
Ниво 1: вируси, които имат набор от фиксиран код Decryptor по време на инфекцията и да изберете един от тях. Такива вируси са "полу-полиморфни" и са известни като "oligomorfik" (oligomorphic). Примери: "Cheeba", "Словакия", "Кит".
Ниво 2: Decryptor вирус се състои от една или повече постоянни инструкции, основната част е променлива.
Ниво 3: Decryptor съдържа неизползвани инструкции - "боклуци" като NOP, CLI STI, и т.н.
Ниво 4: Decryptor използва сменяеми инструкции и промяна поръчка (разбъркано) инструкции. Алгоритъмът за разшифроване не се променя.
Ниво 5: Използването на всички по-горе методи, разшифроването на алгоритъм нестабилен, може отново да криптирате вирусния код и дори частично шифроването на кода за декриптиране.
Ниво 6: permutating-вируси. Промяната е предмет на главното вирус код - тя е разделена на блокове, които, когато са заразени пренаредени в произволен ред. Вирусът обаче продължава да функционира. Тези вируси могат да бъдат не кодирани.
Горната разделението не е свободна от недостатъци, тъй като носи на един единствен критерий - възможността за откриване на вируса на код декриптиране с помощта на стандартен приемане вирусни маските:
Ниво 1 за откриване на достатъчно, за да има няколко маски вируса
Ниво 2: откриване от маска с помощта на "заместващи символи"
Ниво 3: маска за откриване след премахване instruktsiy- "боклук"
Ниво 4: маска включва няколко варианта възможно код, т.е.
Ниво 5: неспособността на откриване на вируса на маската
Липсата на такова разделяне се демонстрира в полиморфната ниво вирус 3, който се нарича - "Ниво 3". Този вирус, който е един от най-сложните полиморфни вируси, според по-горните дивизии попада в Ниво 3, тъй като има постоянна алгоритъм rasshafrovki предшествано от голям брой komand- "боклук". Въпреки това, алгоритъма на вируса за генериране на "боклука" доведени до съвършенство: кода за разшифроването могат да се срещнат почти всички инструкции i8086 процесор.
Ако направим разделение между нивата от гледна точка на анти-вирус, като се използва системата за автоматично разшифроването на вируса код (емулатори), разделението в нива, ще зависи от сложността на емулация на вирусния код. Възможност за откриване на вируси и други методи, например, с помощта на декодиране на елементарни математически закони и т.н.
Затова ми се струва по-обективен дивизия, която включва други параметри освен критерия за вирус маска.
1. степента на сложност на полиморфна код (процента от всички инструкции процесори, които могат да се срещнат в кода за разшифроването)
2. Използването на анти-емулатор трикове
3. Устойчивост на алгоритъма за разшифроване
4. Устойчивост дължина Decryptor
Не бихме искали да представим тези точки в повече подробности, тъй като в резултат на това уникално насърчи авторите на вируси, за да се създаде един вид чудовища.
Всички теми на този раздел:
Алгоритъмът на вируса на зареждане
Почти всички зареждане вируси са местни. Те се изпълняват в паметта на компютъра, когато се стартира от заразения диск. В този случай, на зареждането на ОС прочете съдържанието на първия сектор на диска, с ко
файлови вируси
1. Методи за инфекция 2. Други коментари
Методи на инфекция -> презаписване
Този метод инфекция е най-проста: вирусът записва своя код вместо кода на заразения файл, унищожаване на съдържанието му. Разбира се, когато този файл спира да работи и е реконструиран
Методи на инфекция -> вируси без входна точка
От специално внимание е сравнително малка група от вируси, които не разполагат с "точка за достъп" (EPO-вируси - входна точка прикриване на вируси). Те включват вируси, не записва команди платно
Методи на инфекция -> File червеи
File червеи (червеи) са, в известен смисъл, един вид на домашни вируси, но не свързват тяхното присъствие с всеки изпълним файл. Размножават
Методи за инфекция -> Link-вируси
Линк за вируси, както и придружаващите вируси не се променят физическите съдържанието на файловете, но когато заразеният файл е "принуден" да изпълни своите OS код. Тази цел те се постигне промяна
Методи за инфекция -> OBJ-, LIB-вируси и вируса на изходния код
Вирусите, които заразяват компилатора библиотеки, обект модули и изходния код, доста екзотични и почти идеални. Има около десетина. Вирусите, които заразяват OBJ- и ре-
Въвеждането на вируса в DOS COM- и EXE файлове
DOS изпълними файлове са COM или EXE формат, друго заглавие и начин за започване на изпълнението на програмите. Файлово разширение ( "Ком" или ".exe") не винаги е
примитивен маскиране
Когато заразен файл, вирусът може да произведе серия от действия, маскиране и ускоряване на разпространението му. Чрез тези действия включват обработка атрибут само за четене, преди отстраняването му заразен
скорост на разпространение
Когато говорим за вируси на файловете, трябва да се отбележи линията на такива като скоростта на разпространението. Колкото по-бързо се разпространява вируса, толкова по-вероятно появата на епидемия от този вирус. На бавно раси
Алгоритъмът на файла с вирус
След получаване на контрол, вирусът извършва следните стъпки (списък на най-често срещаните действията на вируса, когато се работи, защото може да бъде завършена списък на специфичен вирус, елементите могат да се променят
Макро вирусите -> Word / Excel / Office97-вируси. Как работи
Когато се работи с версии дума документ 6 и 7 изпълнява различни действия: отваряне на документ, освен, печат, капаци и т.н. В този случай, Word търси и извършва подходящата "построен мак
Макро вирусите -> Алгоритъмът на Word макро вируси
Повечето от най-известните Word-вирус (версии 6, 7 и Word97), когато работи трансфер кодовите (макроси) в глобален макроси област от документа ( "Общи" макроси), на, за това те използват кома
Макро вирусите -> Алгоритъмът на вируса за достъп
Тъй като достъп и е част от Pro пакет Office97, вирусите за достъп, са същите макроси в Visual Basic език, както и на други вируси, които инфектират Office97 приложения. Въпреки това, в населено място
Полиморфни вируси -> полиморфна transcribers
Най-простият пример е частично полиморфна декриптиране е следващия набор от команди, в резултат на което нито един байт на вируса код и неговото разшифроване не е постоянна
Полиморфни вируси -> Промяна на изпълнимия код
Най-често използваният този начин на полиморфизъм макро вируси, които при създаването на новите си копия на произволно промяна на имената на своите променливи, поставете празни редове или промяна на
Stealth вируси -> Boot вируси
Stealth вируси, за да скриете своя код се използват два основни начина. Първият от тях е, че пресечните точки на вирусни команди, за да прочете заразен сектора (INT 13h) и заместниците
Stealth вируси -> File вируси
Bolshinctvo файл стелт вируси използва същите техники, които са изброени по-горе: те са или DOS пресичане призовава за достъп до файлове (INT 21h) или временно лекува файла, когато го отворите и да заразява н
Stealth вируси -> макро вируси
Изпълнение на алгоритми, се прокрадват макро вирус е вероятно най-проста задача - просто достатъчно, за да забраните призовават файл / шаблони или Tools / Macro меню. Това се постига или чрез отстраняване
Резидентни вируси -> ДОС вируси
DOS предоставя два начина за създаване на юридически наименования резидентни модули шофьор в CONFIG.SYS и чрез ПАЗЕТЕ функция (INT 21h, AH = 31h или INT 27h). Много файлови вируси до ma
Резидентни вируси -> Windows-вируси
За да излезете от изпълним код в Windows памет, има три начина, трите метода (с изключение на Windows NT) е била използвана от различни вируси. Най-лесният SPO
Други "лоши програми" -> Предвидени-вируси
Тези вируси са програми, които на пръв поглед е изцяло вирус, но не може да се възпроизведе, защото на грешки. Например, един вирус, който заразява а "забравя
Други "лоши програми" -> Дизайнерски вируси
Virus Конструктор - е програма, предназначена за производството на нови вируси. Известни дизайнери на вируси за DOS, Windows, и макро вируси. Те ви позволяват да се генерират оригинален тон
Други "лоши програми" -> полиморфни генератори
Полиморфни генератори, както и проектанти на вируси не са вируси, в истинския смисъл на думата, тъй като техният алгоритъм не се предвижда репродуктивни функции, т.е. отваряне, затваряне и запис в
IRC-Worms -> IRC-Клиенти
На компютри, работещи MS Windows най-честите клиенти са MIRC и PIRCH. Това не е много обемист, а по-скоро комплексни софтуерни продукти, които в допълнение към предоставянето на основни услуги за IR
Червеите IRC Script -> червеи
Както се оказа, мощни и обширни клиентски команди от системата IRC позволява на базата на скриптове им да създадат компютърен вирус се предава кода на потребителите на компютри IRC мрежата, така наречената
IRC-Worms -> Win95.Fono
Опасен памет местно многостранна полиморфен вирус. Използва MIRC като един от начините да се разпространят: прихваща системни събития в Windows и да подаде MIRC32.EXE започне aktiviz
IRC-Worms -> pIRCH.Events
Първият известен PIRCH-червей. Изпраща се всеки е прикрепен към потребителя на канала. Ключова дума извършва различни действия, като например: екип ".query"
мрежовите вируси
На мрежови карти са вируси, които се разпространяват за активната му използване на протоколи и възможности на локални и глобални мрежи. Основният принцип на мрежата е способността на вируса
Свързани статии