Структурата на SB M- и изпълними програми
COM програма е част от код и данни, като се започне
с изпълнимите команди и отнема не повече от 64Kbayt. Например, такава
структурата има обвивка от COMMAND.SOM на операционната система
MSDOS, версии преди 6.22 включително.
EXE програма е много по-сложна структура. В началото на файла
заглавие EXE програма е дълъг. 28 байта, съдържащи
# 61623; MZ ко - подпише EXE файл;
# 61623; PartPag - файл с дължина по модул 512;
# 61623; PageCnt - дължина на файла в 512 байта страници;
# 61623; ReloCnt - настройка на размера на таблицата;
# 61623; HdrSize глава -size;
# 61623; MinMem Минимално изисква памет;
# 61623; MaxMem - изисква максимална памет;
# 61623; Relo-SS - относителна сегмент комин;
# 61623; ExeSP - изместването на показалеца на комин;
# 61623; ChkSum - контролна сума на файла;
# 61623; ExelP - офсет входна точка;
# 61623; ReloCS - входна точка относителна сегмент;
# 61623; TablOff - настройка на офсет на маса;
# 61623; Overlay - Overlay номер сегмент.
ReloCS ExelP поле и определяне на местоположението на точката на влизане в
програма и поле ExeSP ReloSS - местоположението на комина, и поле PartPag
PageCnt - размера на кореновата сегмент на програмата.
Изчислена чрез PartPag PageCnt и размера на програмата не може да бъде същото
реален
размер
файл.
такъв
програми
наречен
"Сегментираният" или "съдържащ вътрешните слоеве." компетентен
специална маса може да бъде поставена след заглавието, точното
местоположение, което се определя от област TablOff. и размер - област
са модифицирани от операционната система по време на зареждане
Стандартни методи инфекция.
Случаят с програма COM. Тялото на вирус се добавя към края на файла някъде
съхранявани в нея няколко (обикновено три) байта на оригинала
началото на програмата, на тяхно място се записват в началото на екипа на прехода
вирус. Когато вирусът завърши им предостави
действие, като възстановява оригиналните байта на началото на програмата и
предава на управление.
Дело EXE програма. Тялото на вирус се добавя към края на файла в
неговите модифицирани стойности поле глава, определящи
местоположението и размера на входната точка на програмата (понякога -
стека) места. В резултат на това управление получава вирусния код.
В края на вируса, използва съхранена по време на инфекция
стойности на променили полета, скокове с оригинала
Как действа вирусът
Помислете за функционирането на веригата е прост вирус обувка,
заразяване на дискети. Когато компютърът е включен, контрол се предава
фърмуера програма, която се съхранява в постоянен
памет (ROM).
Тази програма тества оборудването и при успешно завършване
тестове, които се опитват да намерят дискета в устройство А:
Всяка дискета маркирани в сектори и писти, сектори заедно в
Има няколко обслужване сред секторите, използвани от операционната
системата за собствени нужди (в тези сектори, които не могат да бъдат поставени
потребителски данни). Сред секторите на услугите на интереси
един -. Sc. сектор фърмуера (зареждане сектор).
информация се съхранява в сектора за начално зареждане на дискета -
брой на повърхности, броят на песните, броят на сектори и
така нататък. Но тази информация не е от интерес и малка първоначална програма
Изтегляне (PNZ), която е да свалите самата операционна система и
за да се получи контрол нея.
По този начин, нормален фърмуера схема е както следва:
PTZ (ROM) - PTZ (ROM) - СИСТЕМА
А сега да разгледаме вируса. вируси обувки сектор са идентифицирали две части -
т. н. главата и така нататък. н. опашка. Опашката, най-общо казано, може да бъде празно.
Да предположим, че имаме един празен дискета, и на заразения компютър, при които
е компютър с активна жител вирус. След като това
Virus установи, че е имало подходяща среда в устройството - в
в конкретния случай не е защитена срещу запис, и все още не е заразен
дискета, тя започва да се инфекция. Инфектирането на дискета, вирусът предизвиква
# 61623; откроява определена област на диска и да го отбележат, че няма наличност
операционна система, може да се направи по различни начини, в най-простите и
конвенционални сектори случай на заетост са маркирани като лош вирус
# 61623; копия опашката си в специална зона на диска, а оригиналът
(Healthy) зареждащ сектор;
# 61623; Той заменя на програмата за зареждане в сектора за начално зареждане
(Момента) на главата;
# 61623; организиране на контрол на предаването на верига съгласно схемата. следователно
, Вирусът вече е глава на контрол на вируса на първите печалби
Той е разположен в контрола на паметта и трансфери до оригинала
зареждащия сектор. В веригата
PTZ (ROM) - PTZ (ROM) - СИСТЕМА
има друга връзка:
PTZ (ROM) - ВИРУС - PTZ (ROM) - СИСТЕМА
проста операция верига butovogo вируса се изследва,
живеещи в сектора за начално зареждане на дискети. Обикновено, вируси могат да
зарази не само сектора за начално зареждане, но и багажника
сектори на твърдия диск - твърдия диск. В този случай, за разлика от дискетите
твърд диск, има два вида тампонни секунди
серпентини съдържащ фърмуера програма, която се получава
управление. Когато ботушите компютърните от първия твърд диск поема
програма за контрол на зареждане MBR (магистър Boot Record -
Главният Стартиращ Record). Ако твърдият диск е разделен на няколко
секции, едната от които е, отбелязани само като стартиращ (зареждане).
Начално зареждане програма в MBR е зареждащия дял
твърдия диск, и предава управлението на програмата за зареждане
на този раздел. най-новите код съвпада с началото на програмния код
товарене, съдържаща се в конвенционални дискети и съответните
секторите за начално стартиране се различават само в таблицата с параметър. следователно
начин на твърдия диск, има два обекта на атака обувка вирус
- програма на фърмуера в програмата за MBR и обувка в
диск за зареждане зареждане сектор.
Този случай разпространението на вируса е най-често докладваните от антивирусните компании. Случаи, когато заразеният файл, документ или електронна таблица на Excel, за да останат незабелязани, когато разпространява с бизнес информация за всяка голяма компания. В този случай, страдат не пет, а стотици или дори хиляди абонати такива писма, които заедно с потенциално десетки хиляди абонати.
Файлови сървъри "публични" и електронни конференции също служат като един от основните източници на разпространението на вируси. Почти всяка седмица има съобщения, че даден потребител е заразени компютъра с вирус, който е бил отстранен от BBS, FTP сървър или от всяка електронна поща конференция.
В случай на масово разпращане на вируса на файлови сървъри FTP / BBS засегнати почти едновременно може да бъде хиляди компютри, но в повечето случаи "са изложени» DOS- или Windows-вирусите, скоростта на разпространението на което в съвременните условия е значително по-ниска от макро вируси. Поради тази причина такива инциденти едва ли някога да се сложи край на масовите епидемии, които не може да се каже за макро вируси.
Третия път "бързо инфекция" - локалната мрежа. Ако не се вземат необходимите защитни мерки, заразеното работно място, когато влезете да зарази една или повече услуги на файлове на сървъра (в случая на Novell NetWare - LOGIN.COM)
На следващия ден, потребителите на входа към мрежа работят заразените файлове
Вместо това, файлът на услугата LOGIN.COM могат да служат и различен софтуер, инсталиран на сървъра, стандартни документи, шаблони или Excel-таблица, използвана във фирмата и т.н.
Нелегални копия на софтуер, както винаги е правил, е един от основните "рискови зони". Често пиратски копия на дискети и дори CD-ROM съдържа файловете, заразени с голямо разнообразие от видове вируси.
Опасност също са инсталирани компютри в училищата. Ако един от студентите, подадена в своите дискети вируса и да заразява всеки компютър обучение, а след това друг "чума" и да получите дискетата всички останали студенти, работещи на компютъра.
Същото важи и за домашния си компютър, ако те са повече от едно лице. Нечести за студент-син (или дъщеря), работи по много потребители компютър в института, измъквам вирус на домашния си компютър, в резултат на което вирусът навлиза компания компютърна мрежа папа или майката.
Много често, но все още е доста възможно да бъдат заразени с компютър за ремонт или рутинна проверка. Сервизи - същите хора, както и някои от тях са склонни да пренебрегват за основните правила за компютърна сигурност. След като се забравя да се затвори защитата срещу запис на един от флопи дискове му, а "маестро" доста бързо ще се разпространи инфекцията върху машините на своите клиенти и е вероятно да го (клиентела) губят.
Ето един пример за родово програма структура-вирус. Тя се състои от
DOS и съчетания на псевдо - малки вътрешни програми
(Компоненти на инструкциите се съхраняват отделно от основната програма)
изпълнение на някои специална функция, когато ги
цит: = търсене (това)
Подпрограма наречена findfile отнася до директорията, за
файлове или програми на диска отнема произволно име на файла и
присвоява името на файла на променливата този (тази). По-долу
Програмата използва псевдо-командния ред DOS натоварване (натоварване), с
от която преписката е поставен в памет на компютъра.
Друг рутинна нарича търсене (търсене) изглежда само
че изтеглили програмата, в търсене на указания, които биха могли
служи като подходящо място, където можете да носите вируса. когато
процедура за търсене е такава инструкция, тя определя
съответния номер на ред и да го присвоява като стойност
променлива цит. Вече сте готови да рутинна вирус
Тя може да проникне произволно избрана от каталога на програмата.
вмъкнете (вложка) подпрограма замества избран инструкция друг
(Например като подпрограма разговор). заменя ръчна
трансфери контрол за блокиране на команди, които съставляват
основното тяло на подпрограмата на вируса, който е прикрепен към края
програма. И тогава, прикрепена към добавя в края на подпрограмата
инструкции връща контрол на "заразен" Програмата за
декларация по повод поставена. По този начин, когато
подпрограма-вирус, също така притежава Changeling
инструкция заразена програма. Изходният код работи,
ако нищо необичайно не се е случило. Но в действителност,
рутинна вирус се възползва от някои моменти да
да поеме на операционната система и закачили
копирате в друга програма, която се съхранява на диска. Примерът по-горе
Сега експертите са установили и други техники, които се различават
едни от други идеи и усъвършенстване на изпълнение.
Свързани статии