Книги
чёрным по белому
Главное меню
Главная О нас Добавить материал Поиск по сайту Карта книг Карта сайта
Книги
Археология Архитектура Бизнес Биология Ветеринария Военная промышленность География Геология Гороскоп Дизайн Журналы Инженерия Информационные ресурсы Искусство История Компьютерная литература Криптология Кулинария Культура Лингвистика Математика Медицина Менеджмент Металлургия Минералогия Музыка Научная литература Нумизматика Образование Охота Педагогика Политика Промышленные производства Психология Путеводители Религия Рыбалка Садоводство Саморазвитие Семиотика Социология Спорт Столярное дело Строительство Техника Туризм Фантастика Физика Футурология Химия Художественная литература Экология Экономика Электроника Энергетика Этика Юриспруденция
Новые книги
Цуканов Б.И. "Время в психике человека" (Медицина)

Суворов С. "Танк Т-64. Первенец танков 2-го поколения " (Военная промышленность)

Нестеров В.А. "Основы проэктирования ракет класса воздух- воздух и авиационных катапульных установок для них" (Военная промышленность)

Фогль Б. "101 вопрос, который задала бы ваша кошка своему ветеринару если бы умела говорить" (Ветеринария)

Яблоков Н.П. "Криминалистика" (Юриспруденция)
Реклама

Азбука хакера 3. Компьютерная вирусология - Собейкис В.Г.

Собейкис В.Г. Азбука хакера 3. Компьютерная вирусология — М.: Майор, 2006. — 512 c.
ISBN 5-98551-013-1
Скачать (прямая ссылка): hakeriazbukahakera2006.djvu
Предыдущая << 1 .. 6 7 8 9 10 11 < 12 > 13 14 15 16 17 18 .. 123 >> Следующая

запись, поэтому здесь тоже могут возникать проблемы.
Эта форма сокрытия очень медленная. Кроме того, она делает диск
неустойчивым. Но здесь может помочь сокрытие дискового пространства.
30
ГЛАВА 1. Что такое компьютерный вирус?
3.4. Сокрытие 4202 и SFT
Обе формы сокрытия имеют дело с сокрытием при чтении и перенаправлении.
Файлы не очищаются при доступе к ним, а маскируются по файловому размеру.
Если файл открывается в режиме чтение/запись и в него что-то пишется, то
он очищается и после проведенной записи снова заражается. При сокрытии
4202, которое применяется в большинстве вирусов, доступ к концу файла
ограничивается вирусом. Любая попытка выйти за пределы виртуального файла
блокируется вирусом. При сокрытии SFT изменяется длина файла в таблице
SFT. DOS ограничивает проход мимо конца зараженных файлоЬ, и вирус лишь
маскирует начало зараженных байтов.
Сокрытие SFT вызывает проблемы в Сети и на разных операционных системах,
потому что SFT является недокументированной структурой, в которой
нормальные программы не нуждаются. Кроме того, обе формы сокрытия
вызывают проблемы в случае применения дисковых чекеров. Некоторые
архиваторы делают вирусы незаразными, если сокрытие на чтение не было
предварительно выключено. То есть методы хорошие, но имеют проблемы с
совместимостью. Их преимуществом является обход сканирования авиров. И
если ваш вирус будет иметь в дополнение хороший полиморфизм, то его ждет
долгая и сытая жизнь на нивах многочисленных систем.
4. Кодирование, полиморфизм и метаморфизм
Кодирование (основной защитный механизм вирусов) было придумано до
внедрения методик сокрытия, и причиной тому были авиры. Если бы они не
начали вытаскивать небольшие сигнатуры
из дешифраторов вируса, то такой прием, как полиморфизм, никогда бы не
был развит.
Кодирование и полиморфизм привели к тому, что современные авиры вынуждены
тратить много времени даже на сканирование самых глупых и неуклюжих
поделок начинающих вирусмейке-ров. Точная идентификация вируса становится
почти невозможной, когда количество "уникальных" записей декодиро-
41
Варфоломей Собейкис. АЗБУКА ХАКЕРА-3
вания стремительно сокращается, а им эти строки еще необходимо найти.
Полиморфизм стал основным оружием вирусов против авировских сканеров
сигнатур. В ответ авиры создали обобщенное декодирование (эмуляцию), что
поставило полиморфизм на грань вымирания.
Хотя полиморфизм по-прежнему создает проблемы для эму-ляционных систем.
Они значительно замедляют работу и путаются в "мусорном" коде (множестве
функциональных вызовов). Многие полиморфные дешифраторы настраивают
эвристические флаги. На смену полиморфизму приходит метаморфизм. Этот
метод отошел от кодирования и для каждого нового поколения полностью
переписывает код вируса по-особому эскизу. То есть для авиров будет нужна
фигура из 20 сканстрок, а при эволюции данного метода сканирование вообще
окажется бессильным.
Обычно вирус пошагово проходит свой ассемблерный код и конструирует новую
программу с возможностями старой версии. Это требует знания опкодов и
полиморфных технологий. Вполне понятно, что данный метод создает в новом
поколении "мусорный" код, который мутирует раз за разом, увеличивая
размер вируса. Соответственно, вирусу приходится уменьшать размер,
кодируя оригинальную копию вируса. При других вариантах метаморфный
модуль создает оригинальную копию.
Примеры метаморфизма редки, и пока существует только несколько
прототипов. Но мутации вирусов ведут к новой стадии эволюции. Борьба за
сокрытие от сканеров, в конечном счете, приведет к развитию "разумного"
вируса.
5. Антиотладка и антиэвристичность
Эти два метода активно развиваются. Первый снижает эффективность
авировских эмуляторов, но уязвим по эвристическим характеристикам.
Поэтому в действие вводится антиэвристичность. Если империя Авира создаст
мощную обобщенную систему идентификации, то только антиэвристичность
поможет вирусам выжить. Хотя сейчас намечается развитие новых приемов,
которые могут избегать обобщенного определения.
6. Среднефайловая инфекция
Существуют две формы среднефайловой инфекции.
Первая форма предполагает, что вирус находит файл, пригодный для
заражения, трассирует код программы (в пошаговом режи-
.49
ГЛАВА 1. Что такое компьютерный вирус?
ме, с помощью эмуляции или трассирования кода) и вставляет один или более
базовых блоков вируса в разные части кода.
Второй метод выбирает наугад части файла и сохраняет данные этой области
в теле вируса. Эти небольшие куски заполняются полиморфным прыжковым
кодом, и каждый из прыжков переносит контроль с одной части в другую.
Последний прыжок переходит к началу вируса, который располагается где-то
в середине исполнительного файла.
Функциональные элементы вирусов
Каждый жизнеспособный вирус должен иметь, по крайней мере, две основные
части или подпрограммы.
Во-первых, он должен содержать подпрограмму поиска, определяющую новые
файлы или новые области диска, которые могут служить целями инфекции. Эта
Предыдущая << 1 .. 6 7 8 9 10 11 < 12 > 13 14 15 16 17 18 .. 123 >> Следующая