deghizându viruși

Cand. tehn. Științe Livak Elena Nikolaevna

Ca viruși ascund prezența lor în sistem?

Sarcina principală a virusului - răspândit. Și astfel virusul este necesar ca prezența în sistem, deoarece cu cât vă mai poate ascunde, el va rămâne neobservat, cu atât mai mult se poate răspândi.

Virusurile ascund prezența lor în diferite moduri.

Unii viruși se manifestă imediat, dar după un timp, permițându-vă cât mai mult posibil pentru a se multiplica. Sub manifestarea virusului în acest caz se referă la virusul, care chiar și utilizatorii fără experiență pot simți că ceva era în neregulă. Acest lucru, de exemplu, sunt manifestări clare ale virusului, ca împlinirea orice muzică sau de afișare a monitoriza orice mesaj sau de design. Formatați unitatea sau sectorul de boot corupt imediat la prima infecție cu virusul ca „nerentabilă“, pentru că acesta este sfârșitul lui și „viața.“ Prin urmare, mulți viruși pun acțiunile lor distructive în dependență de orice termeni specifici. De exemplu:

a) mai multe virusuri apar într-una sau o zi câteva specifice;

b) alte virusuri pus manifestarea lor dependentă de tot felul de accidente. De exemplu, numai în cazul în care valoarea temporizatorului minutele mai mici N; cecuri sau absența de intrare de la tastatură în termen N minute; v virușii de încărcare cu picioare, cum ar fi distrugerea sectoarelor discurilor, calcularea probabilității (1/8 sau 1/16);

Stealth-viruși sunt întotdeauna rezident. Rezident sistem de interceptări Modulul apeluri la fișierele infectate sau sectoare de disc și „înlocuitori“, în locul obiectelor originale.

Deci, viruși-Stealth ascunde de utilizator experimentat, și multe programe anti-virus care efectuează scanări antivirus pentru modificări precoce în lungimile de checksum de fișiere și conținutul sectorului de boot.

Trebuie remarcat faptul că virusul este invizibil Stealth numai atunci când acesta este un modul rezident în memoria calculatorului.

Pentru a complica detectarea, unele virusuri cripta codul lor.

Cu conceptul de un virus de calculator este strâns legată de un alt concept - semnătura.

Semnătura - o bucată de cod, care se găsește în toate copiile virusului, și numai ei. Semnătura identifică în mod unic prezența sau absența virusului.

Evident, căutarea pentru organism a virusului la medicamentele antivirale conduce posibil (de memorie nu este suficient!) Păstrați codurile complete de virus program. Prin urmare, dezvoltatorii de software antivirus continuă după cum urmează: pentru a căuta viruși care păstrează semnăturile lor. Astfel de coduri de scanare un virus numit căutare semnătură.

Cea mai simplă tehnică de criptare este după cum urmează: de fiecare dată când un virus infectează un nou program, acesta criptează propriul cod folosind noua cheie. Cheia de criptare depinde de fișierul gazdă (de exemplu, numele sau lungimea acestuia). Ca urmare, două instanțe ale aceluiași virus poate diferi în mod semnificativ unele de altele, și chiar au lungimi diferite! Este dificil de a detecta virusul folosind căutarea pe bază de semnătură. La urma urmei, codul criptat nu mai are aceeași semnătură.

Criptează virusul în pregătirea managementului primul lucru descifreze codul lor, folosind procedura de decriptare, și apoi efectuați toate celelalte acțiuni.

Criptează virusul este uneori numit virusami- „fantome“.

Orice îmbunătățire suplimentară a virușilor deja dictate de supraviețuirea virusului la locul de muncă sub toate tipurile de medicamente antivirale.

Criptează virusul ascunde codul semnătură. Dar codul criptat trebuie decriptate înainte de execuție, prin urmare, este necesar procedura de interpret, care în sine nu poate fi criptat, așa cum se face în fața codului virusului principal. Interpret conține un cod specific și este de mărime suficientă pentru a servi ca semnătură. Acest lucru și de a folosi software-ul anti-virus, este folosit ca un cod de decriptare semnătură de rutină.

Virusurile, care, prin utilizarea de diferite Decryptor poate schimba complet codul, numit viruși polimorfi (polimorfă).

Aceste virusuri sunt completate generatoare Decryptor. Acest generator de creează pentru fiecare nou virus copii proprii de decriptare, diferit de toate celelalte, dar îndeplinește aceeași funcție. Este destul de dificil. Astfel de probleme sunt deja în programarea automată.

Acest lucru se realizează prin interschimbarea comenzi de decriptare diluat comenzi lipsite de sens, cum ar fi NOP, ITS, CLI, STC, CLC, etc. etc. Ca urmare, la începutul fișierului, infectate în acest fel, există o serie de sens la prima vedere, echipe, și printre ele, ocazional, alunecare echipe de lucru.

În acest moment, știm un număr mare de viruși polimorfi. S-ar părea că viruși polimorfi să pună în aplicare algoritmi complecși, astfel încât acestea să scriu numai de către specialiști cu înaltă calificare.

Cum sunt MTE - viruși?

Dar, din păcate, în acest moment pentru a crea viruși polimorfi nu pot doar experți cu înaltă calificare.

Virusurile atașate acestora modulul nr MTE pentru a genera spărgătorii de coduri, numite MTE - viruși. Acest semi viruși.

Ca urmare a motorului Mutația a apărut de mai multe instrumente de dezvoltare viruși polimorfi. În Kazan AWME a fost creat (Anti WEB Mutation Engine). Dar numele evoluțiilor străine viruși polimorfi:

· CLME (Crazy Lord Mutation Engine),

· DSCE (inchis Slayer Confuzie Engine),

· GCAE (Cicada de Aur Motor anormal),

· NED (NUKE Dispozitiv de criptare),

· SMEG (simulată Metamorfic Encri p TION Generator),

· TPE (Trident Polymorfic Engine),

· VICE (Virogen lui Irreguar Cod motor).

Chiar și de numărul de dezvoltare automate pentru crearea de viruși polimorfi devine evidentă virus polimorf pe scară largă.

În condiții moderne, numai că va supraviețui și a răspândi viruși complexe, care utilizează toate posibilitățile cunoscute de punere în aplicare în sistemele informatice și pentru a ascunde prezența sa.

De obicei, aceste virusuri nu sunt limitate la infecția cu un singur tip de fișier. viruși pluripartite răspândit prin ambele fișiere executabile, cât și prin sectoarele de boot de dischete și hard disk-uri, în același timp, lovind fișierele și sectoare. Astfel, ele sunt de obicei plasate modul rezident în RAM.

Și, în scopul de a obține cele mai mari invulnerabilitate, viruși și combina toate metodele cunoscute de mascare de la utilizatorii mai puțin experimentați și un singur tip de instrumente anti-virus sunt ascunse, folosind Stealth-tehnologie de la utilizatorii mai avansați și agenți antivirali mai puternici - realizarea unor mecanisme polimorfe.

În acest caz, uneori există combinații complexe ale tuturor acestor metode că rezultatul este un virus puternic, care produce infecție masivă.