Прикриването на вируси
СТАНИСАВЛЕВИЧ. tehn. Науките Livak Елена Николаевна
Както вируси скрие присъствието си в системата?
Основната задача на вируса - разпространява. И така вируса необходима, тъй като присъствието му в системата, защото колкото по-дълго толкова по-дълго можете да скриете, той щеше да остане незабелязано, толкова повече може да се разпространява.
Вирусите се скрие присъствието си по различни начини.
Някои вируси се проявяват веднага, но след известно време, си позволяват колкото е възможно повече, за да се размножава. При проява на вируса в този случай се отнася за вируса, който дори неопитни потребители могат да се чувстват, че нещо не е наред. Това, например, са ясни прояви на вируса, тъй като изпълнението на всяка музика или дисплей следи всяко съобщение или дизайн. Формат на диска или корумпиран сектор обувка веднага при първия инфекцията като "безполезни" вирус, защото това е краят и неговият "живот". Ето защо, много вируси са пускането им разрушителни действия в зависимост от специфичните условия. Например:
а) много вируси се срещат в един или няколко конкретни дни;
б) други вируси, поставени им проявление зависи от всякакви инциденти. Например, само ако стойността на протокола на таймер по-малко N; проверки или отсъствие на въвеждане от клавиатурата в N минути; V крака обувка вируси като унищожаване сектори дискове, изчисляване на вероятността (1/8 или 1/16);
Стелт вируси винаги са местни. Резидентен модул прихваща система призовава към заразените файлове или дискови сектори и "заместители" на мястото на оригиналните обекти.
Така Стелт вирусите се крият от опитните потребители, както и много анти-вирусни програми, които изпълняват сканирате за вируси за ранни промени в дължините на файлове контролни суми и съдържание на сектора за начално зареждане.
Трябва да се отбележи, че вирусът е невидим Stealth-само когато е модул, пребиваващи в паметта на компютъра.
За да се усложнят откриване, някои вируси криптират им код.
С концепцията за компютърен вирус е тясно свързан с друга концепция - подписа.
Подпис - част от код, който се намира във всички копия на вируса, и само тях. Подписът уникално идентифицира присъствието или отсъствието на вируса.
Очевидно е, че търсенето на тялото на вируса на противовирусните препарати, кара възможно (не достатъчно памет!) Да се съхранява пълни вирус програмни кодове. Ето защо, антивирусни софтуерни разработчици да продължат, както следва: за търсене на вируси те пазят своите подписи. Тези кодове за сканиране вирус, наречен търсене подпис.
Най-простият техника криптиране е както следва: всеки път, когато вирус заразява нова програма, той криптира вашия собствен код, като използвате новия ключ. Ключът за шифроване зависи от хост файла (например, неговото име или дължина). В резултат на това две инстанции на същия вирус може да се различават значително една от друга, а дори и да имат различни дължини! Трудно е да се открие вируса с помощта на подпис на базата на търсене. В крайна сметка, криптиран код вече не е със същия подпис.
Криптира вируса в подготовката на управление първото нещо, което дешифрира кода си, използвайки процедурата за разшифроване, а след това извършва всички други действия.
Криптира вируса понякога се нарича virusami- "призраци".
Всяко по-нататъшно подобряване на вируси вече продиктувано от оцеляването на вируса по време на работа при всички видове антивирусни лекарства.
Криптира вируса скрие подписването му код. Но криптиран код трябва да бъде разшифрован преди екзекуцията, следователно, е необходимо процедурата-преводач, който от своя страна не могат да бъдат криптирани, както се прави в предната част на главния вирус код. Преводач съдържа специален код и е с достатъчен размер, за да послужи като подпис. Това, както и да използвате антивирусен софтуер, се използва като подпис декриптиране рутинни код.
Вируси, които чрез използване на различни Decryptor може да промени изцяло своя код, наречен полиморфни вируси (полиморфна).
Тези вируси са допълнени Decryptor генератори. Този генератор създава за всеки нови вирусни копия собствен разшифроване, различни от всички останали, но изпълнява същата функция. Това е доста трудно. Тези проблеми вече са в автоматичното програмиране.
Това се постига чрез взаимозаменяемост команди декриптиране разрежда безсмислени команди като NOP, STI, CLI STC, CLC и т.н. и т.н. В резултат на това в началото на файла, заразени по този начин, има набор от безсмислени на пръв поглед, екипи, както и между тях от време на време да се измъкне работни екипи.
В момента, ние знаем, голям брой полиморфни вируси. Изглежда, че полиморфни вируси за изпълнение на сложни алгоритми, така че те се пише само от висококвалифицирани специалисти.
Как са МТИ - вируси?
Но, за съжаление, в момента, за да създадете полиморфни вируси могат не само експерти с висока квалификация.
Вируси, прикачени към тях Модул не МТИ за генериране на код прекъсвачи, наречени МТИ - вируси. Тази полу вируси.
След Мутация Engine появи няколко инструменти за разработка на полиморфни вируси. В Казан AWME той е създаден (Anti WEB Мутация на двигателя). Но имената на чуждестранните развития полиморфни вируси:
· CLME (Crazy Господ Мутация на двигателя),
· DSCE (Тъмно Slayer Объркване Engine),
· GCAE (Golden Цикада Ненормално Engine),
· NED (NUKE Encription Устройство),
· SMEG (Симулиран Metamorfic Encri р ЛИЗАЦИЯ генератор),
· ТРЕ (Trident Polymorfic Engine),
· VICE (Virogen на Irreguar Двигател Код).
Дори и по броя на автоматизирана разработка за създаване на полиморфни вируси стане ясно, разпространено полиморфен вирус.
В съвременните условия само оцелее и да се разпространи сложни вируси, които използват всички известни възможности за реализация в областта на компютърните системи и за да скрие присъствието си.
Обикновено тези вируси не се ограничават до инфекция, причинена от един тип файл. Многостранна вируси се разпространяват чрез двете изпълними файлове, както и чрез зареждане сектори на дискети и твърди дискове в същото време удря файлове и сектори. Така те обикновено са поставени резидентен модул в RAM.
И за да се постигне най-големите неуязвимост, вируси и комбинирате всички известни методи на маскиране от по-неопитните потребители и един вид анти-вирусни инструменти са скрити, като се използват Stealth-технология от по-напреднали потребители и по-мощни антивирусни средства - реализиране на полиморфни механизми.
В този случай, понякога има сложни комбинации от всички тези методи, че резултатът е мощен вирус, който предизвиква масивна инфекция.