Fájlvírusok
Számítógépes vírusok osztályozása
A VÍRUSOK KONCEPCIÓI
A vírus, mint program, két részből áll: a reprodukció és a töltés mechanizmusa. A reprodukció mechanizmusa meghatározza a vírus másolatainak létrehozását, terjesztését és indítását. A töltés a vírus további viselkedése (a multiplikáció mellett) a fertőzött számítógépen.
Minden számítógépes vírus a következő jellemzők szerint osztályozható:
1) élőhelyen;
2) a fertőzés módszere;
3) a romboló hatások veszélyének mértékével;
4) a működés algoritmusával.
A környezet szerint a számítógépes vírusok a következőkre oszthatók:
A hálózati vírusok helyzete a számítógépes hálózatok elemei. A fájlvírusokat végrehajtható fájlokba helyezik. A rendszerindítási vírusok a külső tárolóeszközök csomagtartó szektoraiban vannak (8208-as rendszerindító szektorok). Néha a boot vírusokat butovírusoknak hívják. A kombinált vírusok számos élőhelyen találhatók. Az ilyen vírusok példája a # 8208; fájlvírusok. Ezek a vírusok mind a mágneses meghajtók indító szektorában, mind pedig a rendszerindító fájlok testében helyezhetők el.
Míg a környezet fertőzött, a számítógépes vírusok a következőkre oszlanak:
A rezidens vírusok az aktiválásuk után teljesen vagy részben elmozdulnak a környezetből (hálózat, boot szektor, fájl) a számítógép fő memóriájába. Ezek a vírusok, amelyek szabályszerűen kiváltságos működési módokat használnak, csak az operációs rendszert engedélyezik, megfertőzik a környezetet és bizonyos körülmények között destruktív funkciót valósítanak meg. A rezidens nem rezidens vírusoktól eltérően a számítógép fő memóriájába csak a tevékenységük során kerülnek be, amelynek során végzik el a pusztító funkciót és a fertőzés funkcióját. Ezután a vírusok teljesen elhagyják a memóriát, miközben az élőhelyen maradnak. Ha a vírus programot helyez el a memóriába, amely nem fertőz meg az élőhelyet, akkor a vírus nem rezidensnek tekintendő.
A felhasználó információforrásainak veszélye miatt a számítógépes vírusok a következőkre oszthatók:
1) ártalmatlan vírusok;
2) veszélyes vírusok;
3) nagyon veszélyes vírusok.
Azonban az ilyen vírusok látszólagos ártalmatlansága miatt a COP kárt okoz. Először is, ezek a vírusok CC erőforrásokat költenek, bizonyos mértékben csökkentik a teljesítményét. Másodszor, a számítógépes vírusok tartalmazhatnak olyan hibákat, amelyek veszélyes következményeket okozhatnak a COP információforrásai számára.
Ezenkívül az operációs rendszer vagy a CS hardverének frissítésekor a korábban létrehozott vírusok a rendszer rendszeres algoritmusának megsértését okozhatják.
Veszélyesek azok a vírusok, amelyek jelentősen csökkentik a CS hatékonyságát, de nem vezetnek a memóriában tárolt információk integritásának és titkosságának megsértéséhez. Az ilyen vírusok következményei az anyagi és időforrások jelentős kiadása nélkül kiküszöbölhetők. Az ilyen vírusok példái olyan vírusok, amelyek elfoglalják a számítógép memóriáját és kommunikációs csatornáit, de nem blokkolják a hálózat működését; olyan vírusok, amelyek szükségessé teszik a programok ismételt végrehajtását, újraindítják az operációs rendszert vagy továbbadják az adatokat a kommunikációs csatornákon stb.
Ez nagyon veszélyes lehet tekinteni okozó vírusok titoktartás megsértése, a pusztítás, a visszafordíthatatlan módosítás (beleértve a titkosítást) információkat, valamint a vírusok, amelyek blokkolják az információhoz való hozzáférés, ami hardver hiba, és káros a felhasználók egészségére. Az ilyen vírusok törölnek egyéni fájlokat, rendszermemória területeket, formátumú lemezeket, illetéktelen hozzáférést kapnak az adatokhoz, titkosítják az adatokat és így tovább.
Egyes vírusok hardverhibákat okoznak. Rezonanciafrekvencián az elektromechanikus eszközök mozgó részei például egy mágneses meghajtó helymeghatározó rendszerében megsemmisíthetők. Ez a mód a 8208-as program, a vírus segítségével hozható létre. Meg lehet határozni az egyedi elektronikus áramkörök (például nagy integrált áramkörök) intenzív használatának módjait, amelyekben túlmelegedésük és meghibásodásuk történik.
Az állandó memória használata a modern PC-ben, felülírva a vírusok megjelenését eredményezte, amelyek megváltoztatják a BIOS programokat, ami az állandó tárolóeszközök cseréjéhez vezet.
A működés algoritmusának jellemzői szerint a vírusok két osztályba sorolhatók:
1) olyan vírusok, amelyek nem változtatják meg az élőhelyet (fájlokat és szektorokat) az elosztás során;
2) olyan vírusok, amelyek megváltoztatják az élőhelyet a szaporítás során.
Másfelől olyan vírusok, amelyek nem változtatják meg az élőhelyet. két csoportra osztható:
1) vírusok - "műholdak" (kísérő);
2) a vírusok férgek.
Vírusok - a "műholdak" nem változtatják meg a fájlokat. Működésük mechanizmusa a végrehajtható fájlok másolása. Például a # 8208 MS-ben: DOS, az ilyen vírusok másolatokat készítenek a .EXE kiterjesztésű fájlokra.
A másolatok ugyanazt a nevet kapják, mint a végrehajtható fájl, de a kiterjesztés .COM-ra változik. Amikor elindít egy közös nevet tartalmazó fájlt, az operációs rendszer először betölti a .COM kiterjesztésű fájlt, amely a # 8208 program, a vírus. A fájl # 8208, a vírus pedig a .EXE kiterjesztésű fájlt futtatja.
A bonyolultság, a tökéletesség mértéke és a maszkolási algoritmusok jellemzői, az élőhelyet megváltoztató vírusok. a következőkre oszlik:
2) lopakodó vírusok (láthatatlan vírusok);
A diákok közé tartoznak a vírusok, amelyeknek az alkotói alacsony képzettséggel rendelkeznek. Az ilyen vírusok általában nem rezidensek, gyakran tartalmaznak hibákat, meglehetősen könnyű észlelni és törölni.
„Stelc” -virusy és polimorf vírusok jönnek létre szakemberhez, aki ismeri a működési elve hardver és operációs rendszer, valamint az immáron készségek mashinoorientirovannymi programozási rendszereket.
A polimorf vírusoknak nincs állandó azonosító csoportjuk - aláírások. Jellemzően a vírus felismerni azt a tényt, fertőzés élőhely kerül a fertőzött objektum speciális azonosító bináris sorozat vagy karaktersor (aláírás), amely egyedileg azonosítja a fertőzött fájlt vagy ágazatban. Aláírásokat lépésben alkalmazott vírusok terjedésének elkerülése érdekében többszörös fertőzések a tárgya azonos a tárgy ismételt fertőzés drámaian növeli annak valószínűségét, vírus kimutatására. A maszkolási funkciók kiküszöbölésére a polimorf vírusok a vírus test titkosítását és a titkosítási program módosítását használják. Ennek az átalakulásnak köszönhetően a polimorf vírusok nem rendelkeznek kódmegfeleltetéssel.
Bármilyen vírusnak, függetlenül attól, hogy az adott osztályhoz tartozzon, három funkciós blokknak kell lennie: egy fertőzött blokk (elosztás), egy maszkoló egység és egy blokk a destruktív műveletek végrehajtásához. A funkcionális blokkok elkülönítése azt jelenti, hogy a vírus program parancsai, amelyek a vírus testében lévő parancsok helyétől függetlenül három függvényt hajtanak végre, egy adott blokkhoz tartoznak.
A vírusellenőrzés átvitelét követően általában a maszkoló egység bizonyos funkcióit hajtják végre. Például a vírus testét visszafejtik. Ezután a vírus elvégzi a be nem vezetett élőhely bevezetésének funkcióját. Ha a vírusnak destruktív hatásúnak kell lennie, azt feltétel nélkül vagy bizonyos körülmények között végzik.
A maszkoló egység mindig bezárja a vírust. Ugyanakkor végzett, például a következőket: titkosítás a vírus (ha a titkosítási funkció elérhető), a helyreállítás a régi időpont változás fájl attribútumok a fájlok helyreállítása, OS beállítási táblázatok, stb
A vírus utolsó parancsja egy parancsot futtat a fertőzött fájlokra való áttérésre, vagy végrehajtja az operációs rendszereket.
Az ismert vírusokkal való együttműködés kényelme érdekében víruskatalógusokat használnak. A katalógusban fel a következő információkat a standard tulajdonságai a vírus: a nevet, a hossza a fertőzött fájlokat, és a végrehajtása a fájl fertőzés eljárás, a végrehajtás módját, az OP rezidens okozó vírusok hatások jelenlétét (hiánya) destruktív funkciók és a hibákat. A könyvtárak jelenléte lehetővé teszi, hogy csak speciális tulajdonságokat adjon meg a vírusok leírásakor, elhagyva a standard tulajdonságokat és műveleteket.