Вернуться   Компьютерный форум > Блоги > Базаров
Оценить эту запись

Методы маскировки вирусов

Запись от Базаров размещена 09.01.2013 в 01:13

(Информация датирована 1996 г.)

Чтобы предотвратить свое обнаружение, многие вирусы применяют довольно хитрые приемы маскировки. Расскажем о некоторых из них.
"Невидимые" вирусы
Многие резидентные вирусы (и файловые, и загрузочные) предотвращают свое обнаружение тем, что перехватывают обращения операционной системы (и тем самым прикладных программ) к зараженным файлам и областям диска и выдают их в исходном (незараженном) виде. Такие вирусы называются невидимыми, или stealth (стелс) вирусами. Разумеется, эффект "невидимости" наблюдается толькона зараженном компьютере - на "чистом" компьютере изменения в файлах и загрузочных областях диска можно легко обнаружить.
Замечания. 1. Некоторые антивирусные программы могут обнаруживать "невидимые" вирусы даже на зараженном компьютере. Для этого они выполняют чтение диска, не пользуясь услугами DOS. Такими программами являются, в частности, ADinf фирмы "Диалог-Наука", Norton AntiVirus и др.
2. Некоторые антивирусные программы используют для борьбы с вирусами свойство "невидимых" файловых вирусов "вылечивать" зараженные файлы. Они считывают (при работающем вирусе) информацию из зараженных файлов и записывают ее в файл или файлы. Затем, уже после загрузки с "чистой" дискеты, исполнимые файлы восстанавливаются в исходном виде.
Шифрование своего кода
Вирусы часто содержат внутри себя различные сообщения, что позволяет заподозрить неладное при просмотре содержащих вирус файлов или областей дисков. Чтобы затруднить свое обнаружение, некоторые вирусы шифруют свое содержимое, так что при просмотре зараженных ими объектов (даже на "чистом" компьютере, то есть когда вирус не активен) никаких подозрительных текстовых строк вы не увидите.
Полиморфные вирусы
Еще один способ, применяемый вирусами для того, чтобы укрыться от обнаружения, - модификация своего тела. Это затрудняет нахождение таких вирусов программами-детекторами - в теле таких вирусов не имеется ни одной постоянной цепочки байтов, по которой можно было бы идентифицировать вирус. Такие вирусы называются полиморфными, или самомодифицирующимися.
Замечания. 1. Многие полиморфные вирусы используют шифрование своего кода, меняя параметры этой кодировки при создании каждой копии. Кроме того, они тем или иным способом изменяют и свою стартовую часть, которая служит для раскодировки остальных команд вируса.
2. В простейших полиморфных вирусах вариации их кода ограничиваются использованием одних регистров компьютера вместо других, добавлением "незначащих" команд и т.д. И программы-детекторы приспособились обнаруживать команды в стартовой части вируса, несмотря на маскирующие изменения в них. Но имеются и вирусы с чрезвычайно сложными механизмами самомодификации. В них каждая значащая инструкция передается одним из сотен тысяч возможных вариантов, при этом используются более половины всех команд процессора.
3. Тем не менее, имеются антивирусные программы-детекторы, способные обнаруживать такие сложные полиморфные вирусы. Как правило, они содержат эмулятор (программный эквивалент) процессора, то есть могут интерпретировать программы без их реального выполнения (на настоящем процессоре). Такие детекторы интерпретируют анализируемые программы, то есть "выполняют" их на программном эквиваленте процессора, и в ходе этого "выполнения" решают, является ли анализируемая программа вирусом или нет. Эта задача очень сложна (точнее, неразрешима), поскольку вирусы не используют каких-то специфических действий, которые не применялись бы другими программами. Однако лучшие детекторы способны отлавливать неизвестные полиморфные вирусы в более чем 80% случаев при очень малом количестве ложных тревог. Примером такой программы является Dr. Web из антивирусного комплекта DSAV фирмы "Диалог-Наука".
Неизменение длины файлов
Ранние файловые вирусы при заражении увеличивали длину файлов, что позволяло их легко обнаруживать. Однако затем появились вирусы, не увеличивающие длину файлов. Для этого они могут записывать свой код в "пустые" участки внутри файлов, сжимать код заражаемого файла и т.д. Разумеется, "невидимым" вирусам к таким уловкам прибегать нужды нет.
Размещено в Без категории
Просмотров 5113 Комментарии 0 Отправить другу ссылку на эту запись
Всего комментариев 0

Комментарии

 

Текущее время: 05:19. Часовой пояс GMT +4. Powered by vBulletin® Version 5.8.9
Copyright ©2000 - 2016, Jelsoft Enterprises Ltd.