WWW.REFERATCENTRAL.ORG.UA - Я ТУТ НАВЧАЮСЬ

... відкритий, безкоштовний архів рефератів, курсових, дипломних робіт

ГоловнаІнформатика, Компютерні науки → Програмні віруси та методи захисту від них - Реферат

Програмні віруси та методи захисту від них - Реферат

Terminate and Stay Resident) розуміється спроможність вірусів залишати свої копії в операційній системі, перехоплювати деякі події (наприклад, запис - зчитування файлів або дисків) і викликати при цьому процедури інфікація виявлених об'єктів (файлів і секторів). Таким чином, резидентні віруси активні не тільки в момент роботи інфікованої програми, але і після того, як програма закінчила свою роботу. Резидентні копії таких вірусів залишаються життєздатними аж до чергового перезавантаження, навіть якщо на диску знищені всі інфіковані файли. Часто від таких вірусів неможливо позбутися відновленням усіх копій файлів із дистрибутивних дисків або backup-копій. Резидентна копія вірусу залишається активною і інфікує знову відновлені файли. Те ж вірно і для завантажувальних вірусів - форматування диску при наявності в пам'яті резидентного вірусу не завжди виліковує диск, оскільки багато резидентних вірусів інфікує диск повторно після того, як він відформатований. Нерезидентні віруси, навпаки, активні досить нетривалий час - тільки в момент запуску інфікованої програми. Для свого поширення вони шукають на диску неінфіковані файли і записуються в них. Після того, як код вірусу передає керування програмі-носію, вплив вірусу на роботу операційної системи зводиться до нуля аж до чергового запуску якоїсь інфікованої програми. Тому файли, інфіковані нерезидентними вірусами значно простіше видалити з диску і при цьому не дозволити вірусу заразити їх повторно.
Резидентний вірус при інфікуванні комп'ютера залишає в оперативній пам'яті свою резидентну частину, яка пізніше перехоплює звертання операційної системи до об'єктів інфікації і записується в них. Резидентні віруси знаходяться в пам'яті і залишаються активними аж до вимикання комп'ютера або перезагрузки операційної системи. Нерезидентні віруси не інфікують пам'ять комп'ютера і зберігають активність обмежений час. Деякі віруси залишають в оперативній пам'яті невеличкі резидентні програми, що не поширюють вірус. Такі віруси також вважаються нерезидентними. Резидентними можна вважати макро-віруси, оскільки вони постійно присутні в пам'яті комп'ютера на весь час роботи інфікованого редактора. У цьому випадку роль операційної системи бере на себе редактор, а поняття "перезагрузка операційної системи" трактується, як вихід із редактора. У багатозадачних операційних системах час "життя" резидентного DOS-вірусу також може обмежуватися моментом закриття інфікованого DOS-вікна, а активність завантажувальних вірусів у деяких операційних системах обмежується моментом інсталяції дискових драйверів операційної системи.
Переважна більшість резидентних завантажувальних вірусів для виділення системної пам'яті для своєї резидентної копії використовує той самий прийом - вони зменшують обсяги DOS-пам'яті і копіюють свій код у "відрізаний" блок пам'яті. Надалі деякі віруси "чекають" завантаження DOS і відновлюють початкове значення обсягу системної пам'яті - в результаті вони здаються розташованими не за межами DOS, а, як окремий блок DOS-пам'яті. Деякі завантажувальні віруси взагалі не використовують і не змінюють значення обсягу системної пам'яті. Вони копіюють себе в якусь область пам'яті, не активізуються аж до завантаження DOS і потім інсталюють свій код у системі всіма можливими в DOS засобами.
Макро - віруси.
Макро-віруси інфікують файли-документи й електронні таблиці декількох популярних редакторів. Макро-віруси (macro viruses) є програмами на макро-мовах, вмонтованих у деякі системи опрацювання даних (текстові редактори, електронні таблиці і т.д.). Щоб переносити себе з одного інфікованого файлу (документу або таблиці) в інші, такі віруси використовують можливості макро-мов. Найбільш поширеними є макро-віруси для продуктів Microsoft Office. Існують також макро-віруси, що інфікують документи Ami Pro. Таким чином, для існування вірусів у конкретній системі (редакторі) необхідна наявність вмонтованої в систему макро-мови з можливостями:
1) прив'язки програми на макро-мові до конкретного файла;
2) копіювання макро-програм з одного файла в інший;
3) можливість одержання керування макро-програмою без втручання користувача (автоматичні або стандартні макроси).
Цим умовам задовольняють, продукти Microsoft Office (редактор Word, електронна таблиця Excel і база даних Microsoft Access) і AmiPro. Так, Word містить у собі макро-мову - Word Basic, а системи Office97 - Visual Basic for Applications. При цьому слід пам'ятати, що:
" макро-програми прив'язані до конкретного файла (AmiPro) або знаходяться всередині файла (Word, Excel, Office97);
" макро-мова дозволяє копіювати файли (AmiPro) або переміщувати макро-програми в службові файли системи, що редагують файли (Microsoft Office);
" при роботі з файлом за певних умов (відкриття, закриття, тощо) викликаються макро-програми (якщо такі є), що визначені спеціальним чином (AmiPro) або мають стандартні імена (Microsoft Office).
Ця особливість макро-мов призначена для автоматичного опрацювання даних у великих організаціях або в глобальних мережах і дозволяє організувати, так званий "автоматизований документообіг". З іншого боку, можливості макро-мов таких систем дозволяють вірусу переносити свій код в інші файли, і в такий спосіб інфікувати їх. На сьогоднішній день відомі чотири системи, для яких існують віруси - Microsoft Word, Excel, Office97 і AmiPro. У цих системах віруси одержують керування при відкритті або закритті інфікованого файлу, перехоплюють стандартні файлові функції і потім інфікують файли, до яких яким-небудь чином йде звертання. Більшість макро-вірусів є резидентними, тобто вони активні не тільки в момент відкриття або закриття файлу, а з часу активації і до того часу, поки активний редактор.
Фізичне розташування вірусу всередині файлу залежить від його формату, що у випадку продуктів Microsoft надзвичайно складно - кожен файл-документ представляються послідовністю блоків даних (кожний із котрих також має свій власний формат), об'єднаних між собою за допомогою великої кількості службових даних. Цей формат називається OLE2 - Object Linking and Embedding. Структура файлів Microsoft Office нагадує ускладнену файлову систему дисків DOS, як от "кореневий каталог" файла-документа або таблиці вказує на основні підкаталоги різноманітних блоків даних, декілька таблиць FAT містять інформацію про розташування блоків даних у документі і т.д. Більше того, система Office Binder, що підтримує стандарти Word і Excel дозволяє створюватифайли, які одночасно містять один або декілька документів у форматі Word і одну або декілька таблиць у форматі Excel. Word-віруси спроможні інфікувати лише Word-документи, а Excel-віруси - тільки Excel-таблиці, і все це можливо в межах одного дискового файла.
При інфікації деякі макро-віруси перевіряють наявність своєї копії в об'єкті і повторно себе не копіюють. Проте існують інші макро-віруси, які не роблять цього і переписують свій код при кожній інфікації. В цьому випадку, якщо в інфікованому файлі або області системних макросів вже визначений макрос, ім'я якого збігається з назвою макро-вірусу, то попередній макрос знищується.
Для того, щоб залишити виконуваний код у пам'яті Windows, існує три вже відомі
Loading...

 
 

Цікаве