Книги
чёрным по белому
Главное меню
Главная О нас Добавить материал Поиск по сайту Карта книг Карта сайта
Книги
Археология Архитектура Бизнес Биология Ветеринария Военная промышленность География Геология Гороскоп Дизайн Журналы Инженерия Информационные ресурсы Искусство История Компьютерная литература Криптология Кулинария Культура Лингвистика Математика Медицина Менеджмент Металлургия Минералогия Музыка Научная литература Нумизматика Образование Охота Педагогика Политика Промышленные производства Психология Путеводители Религия Рыбалка Садоводство Саморазвитие Семиотика Социология Спорт Столярное дело Строительство Техника Туризм Фантастика Физика Футурология Химия Художественная литература Экология Экономика Электроника Энергетика Этика Юриспруденция
Новые книги
Цуканов Б.И. "Время в психике человека" (Медицина)

Суворов С. "Танк Т-64. Первенец танков 2-го поколения " (Военная промышленность)

Нестеров В.А. "Основы проэктирования ракет класса воздух- воздух и авиационных катапульных установок для них" (Военная промышленность)

Фогль Б. "101 вопрос, который задала бы ваша кошка своему ветеринару если бы умела говорить" (Ветеринария)

Яблоков Н.П. "Криминалистика" (Юриспруденция)
Реклама

Азбука хакера 3. Компьютерная вирусология - Собейкис В.Г.

Собейкис В.Г. Азбука хакера 3. Компьютерная вирусология — М.: Майор, 2006. — 512 c.
ISBN 5-98551-013-1
Скачать (прямая ссылка): hakeriazbukahakera2006.djvu
Предыдущая << 1 .. 5 6 7 8 9 10 < 11 > 12 13 14 15 16 17 .. 123 >> Следующая

задачами авиров и носят чисто коммерческий характер.
1. Туннелинг
Туннелинг - это технология, первоначально созданная для обхода авирных
продуктов, определявших класс вирусов. Эти продукты назывались
поведенческими блокираторами. Они были резидентами памяти, подцепленными
к прерываниям Intl3h и Int21h. То есть они отслеживали вызовы к этим
прерываниям и определяли особые последовательности действий (например,
открыть файл, переместиться к концу файла, произвести запись,
переместиться в начало файла, произвести запись, закрыть файл). Подобные
последовательности указывали на процесс инфекции, и их обнаружение
вызывало различные процедуры очистки системы.
В нынешнее время поведенческие блокираторы переживают стадию упадка. Во-
первых, они замедляют работу программ. Во-вторых, они часто вызывали
ложные тревоги, а пользователей нельзя волновать понапрасну. Тем не
менее, они часто входят в инструментальный набор антивирусных пакетов.
В любом случае, туннелинг переживает не лучшие времена. Этот метод, во-
первых, увеличивает размеры вирусов и замедляет процесс внедрения в
систему. Во-вторых, он часто не оправдывает себя, ломая код вируса. В-
третьих, этот метод вызывает проблемы совместимости с процессорами и
антивирусными программами (причем, так называемые одношаговые "кроты" в
наше время лег-
28
ГЛАВА 1. Что такое компьютерный вирус?
ко определяются). В-четвертых, практика туннелинга сложна и опасна для
создателей вирусов. И пока этот метод не считается полезным оружием в
арсенале опытных адептов Искусства.
2. Антитуннелинг
Антитуннелинг развивался в ногу с туннелингом и использовался авирами для
борьбы с вирусными туннелинговыми атаками. Даже тогда он использовался
редко - меньше, чем туннелинг. А затем хакеры применили этот метод против
авиров. Вирусы начали использовать код антитуннелинга, чтобы защититься
от обхода их сокрытия и запретить другим вирусным туннелерам вмешиваться
в механизмы захвата прерываний.
Антитуннелинг имеет хорошие и плохие стороны. С одной стороны, он хорош,
чтобы запретить другим вирусам обход захваченного вами вектора прерывания
и для остановки многих популярных авировских программ. С другой стороны,
этот метод порождает много хлама и засоряет систему, что делает явным
наличие вируса. Поэтому метод нуждается в дальнейшей разработке.
3. Сокрытие
Сокрытие использовалось часто и разнообразно. Поначалу оно обманывало
чекеры целостности и мешало им выявлять изменения в зараженных файлах (в
наше время любой авировский продукт включает в себя чекеры целостности).
Сокрытие бывает разным. Например:
3.1. Файловое сокрытие
Простое файловое сокрытие появилось во времена правления DOS и Norton-
Commander. В ту пору вирусы были диковинкой, и люди проверяли размеры
файлов. Такая проверка позволяла им определять наличие вирусов (в
основном, в COMMAND.COM, и именно поэтому инфекция COMMAND.COM почти
никогда не проводилась). Сокрытие размера имело свои проблемы. Некоторые
программы-архиваторы неправильно сжимали зараженные файлы, а другие
(например CHKDSK) буквально сходили с ума, объявляя об ошибках на жестком
диске. Это ставило жизнь вирусов под угрозу, потому что пользователь
всегда и по любому поводу винит в нестабильности системы только вирусы.
Файловое сокрытие было не очень совместимым с програм-
29
Варфоломей Собейкис. АЗБУКА ХАКЕРА-3
мами. Сейчас оно редко употребляется, потому что пользователи больше не
следят за размерами файлов. Тем не менее, некоторые авиры предлагают
подобную утилиту.
Следует добавить, что старые методы по сокрытию размера файла не работают
на современных машинах (хотя никто не понимает, по какой причине). Сейчас
развиваются методы инфекции без увеличения размера (заражение пространств
данных, заголовков, сжатие файла перед инфекцией и т. д.).
3.2. Секторное сокрытие
Это было первой формой сокрытия вирусов для загрузочного сектора.
Сокрытие уровня сектора маскирует наличие вируса в загрузочном секторе на
дисках. Метод легко обнаруживается, когда авиры считывают информацию
напрямую с портов. Но доступ к портам задействует прерывание Int76h. И
если вирусмейкер достаточно умен, он обходит такие проверки.
В данном случае нужно помнить, что это прерывание вызывается после записи
на диск и, если вы будете невнимательны, то можете войти в бесконечную
петлю.
Сокрытие уровня сектора имеет проблемы на современных машинах. Эти
трудности решаются сокрытием с помощью Int76h и правильным обращением с
Intl3h. Секторное сокрытие с помощью Intl3h плохо работает под Linux и
другие 32-битные системы.
3.3. Сокрытие с дезинфекцией при чтении
Это вид полного сокрытия. Он построен на очищении зараженных файлов,
когда те открываются пользователем, и. на их вторичном заражении при
закрытии. Одним из первых этот метод использовал вирус Frodo. Данный
метод не работает на дискетах и вызывает сообщение об ошибке, если Int24h
зацеплено неверно. Некоторые конфигурации Сети не дают разрешения на
Предыдущая << 1 .. 5 6 7 8 9 10 < 11 > 12 13 14 15 16 17 .. 123 >> Следующая