Как вирусът прониква в сектора за зареждане

Компютърни вируси. Антивирусни инструменти

Основни понятия, факти

Класификация на компютърните вируси. Методи за въвеждане на компютърни вируси в зареждащи сектори и изпълними файлове. Макровируси. мрежови вируси. Предотвратяване на компютърни инфекции. Методи за откриване на компютърни вируси. Антивирусни инструменти. Как да използвате антивирусни инструменти.

Умения

Откриване и премахване на компютърни вируси с помощта на антивирусни средства. Откриване на непознати вируси. Организация на безопасна работа на компютър.

Още

1. Е. Касперски. Компютърни вируси // www.viruslist.com/viruslistbooks.html

2. Голяма вирусна енциклопедия // www.viruslist.com/viruslist.html

3. Ливак E.N. Информационна сигурност: учеб. помощ: В 16 ч. Част 1 - Компютърни вируси. - Гродно, 1997 - 110 с.

4. Ливак E.N. Информационна сигурност: учеб. ръководство: В 16 ч. Част 2 - Как да се отнасяме към компютър. - Гродно, 1998 - 95 с.

Компютърният вирус е набор от команди, които произвеждат и разпространяват свои копия в компютърни системи и/или компютърни мрежи и умишлено извършва някои действия, които са нежелани за законните потребители на системата.

Подчертаваме.Вирусната програма е способна на саморазмножаване. Това е основният критерий, по който една вирусна програма се отличава от другите програми.

Нека разгледаме по-подробно основните елементи на определението.

Компютърният вирус е набор от команди.Тялото на вируса може да се състои от команди на произволен програмен език или няколко наведнъж. Най-честият случай е асемблерният език.

Компютърен вирус се разпространява.Вирусът може да създаде свой собственкопия и да бъдат вградени в изпълними файлове на програми, пакетни файлове, области на компютърна система. В същото време копията запазват възможността за по-нататъшно разпространение. Също така е важно вирусът да може да разпространява набор от команди, който е различен от оригинала.

Компютърният вирус извършва нежелани действия.Когато вирус навлезе в компютърна система, той прави промени в нея. В най-добрия случай това са безобидни действия. Например показване на различни надписи или рисунки на екрана на монитора, възпроизвеждане на различни мелодии на вградения високоговорител. В най-лошия случай това е унищожаване на файлове с данни и компютърен софтуер.

Класификация на компютърните вируси

Вирусите могат да бъдат разделени на класове според следните критерии:

според местообитанието на вируса,
според начина на заразяване
разрушителен потенциал,
според характеристиките на алгоритъма на вируса.

По местообитание вирусите могат да бъдат разделени на файлови, стартиращи и файлови стартиращи вируси.

ФАЙЛОВИЯТ вирус е вирус, който заразява изпълними файлове. Това означава, че кодът на вирусната програма е в някакъв вид изпълним файл.

BOOT (boot) е вирус, който се въвежда в boot сектора на диска (Boot-sector), или в сектора, съдържащ буутлоудъра на твърдия диск (Master Boot Record).

FILE-BOOT вирусът е вирус, който заразява както файлове, така и сектори за зареждане на дискове.

Според методите на заразяване се разграничават резидентни и нерезидентни вируси.

РЕЗИДЕНТЕН вирус поставя себе си или част от своята част в RAM паметта на компютъра, придобивайки способността да прихваща достъпа на операционната система до дискове и файлове. Когато операционната система има достъп до тези обекти, вирусът се инжектира втях. Резидентният вирус се намира в RAM и остава активен, докато компютърът не бъде изключен или рестартиран.

Всички стартиращи вируси са резидентни.

НЕРЕЗИДЕНТНИЯТ вирус не заразява RAM паметта на компютъра, тоест не поставя своя код в RAM паметта. Той е активен само докато работи заразената програма.

По разрушителни способности вирусите могат да бъдат разделени на неопасни и опасни.

ОПАСНИ вируси са всички останали. Това са вирусите, които причиняват някаква вреда на компютъра: те водят до сериозни неизправности, унищожават или променят данни, унищожават информация в системните области на компютъра и т.н.

Според характеристиките на алгоритъма могат да се разграничат следните групи вируси:

1) сателитни вируси, файлови червеи;

2) вируси в структурата на файловата система;

3) стелт вируси (Stealth);

5) полиморфни и MtE вируси;

9) мрежови червеи и други.

МЕТОДИ ЗА ВЪВЕЖДАНЕ НА ВИРУС

Как вирусът попада в сектора за зареждане?

Вирусът за стартиране се записва в първия сектор на диска и презаписва съдържанието му в друг сектор, или, с други думи,вирусът прехвърля оригиналния сектор за зареждане на диска в друг сектор на диска и се записва на негово място.

Ако дължината на вируса е по-голяма от дължината на един сектор, тогава началото на вируса се поставя в първия сектор, а продължението му се поставя в останалите сектори на диска.

Има вируси, които не запазват старото съдържание на boot сектора, но съдържат стандартен буутлоудър в тялото си. Когато са заразени, те презаписват оригиналния зареждащ сектор, без да го запазват.

Иманяколко начина за поставяне на инициалазареждащ сектор и продължение на вируса:

1) към сектори на свободни клъстери на логически диск;

2) към неизползвани или рядко използвани сектори;

3) към сектори, разположени извън диска.

Ако вирусът ще постави оригиналния зареждащ сектор всвободни сектори (блокове) на диска, той избира свободни дискови блокове, записва своята информация в тях и обикновено маркира тези блокове като лоши. Тези блокове се наричат псевдо-неуспешни блокове.

Неизползван или рядко използван секторна твърд диске един от секторите (ако има такъв), разположен между MBR и първия Boot сектор.

На дискетанеизползван или рядко използван сектор се избира от последните сектори на главната директория.

По-рядко се използва методът за запазване на продължението на вирусаизвън диска (нестандартен метод на форматиране). Той се крие във факта, че вирусът форматира допълнителна песен и записва част от своя код и реалния boot сектор в нея. Информацията от тази допълнителна песен не може да бъде прочетена или записана с нормалните средства на операционната система.