virus Stealth prin diverse metode pentru a ascunde prezența lor în sistem. Cunoscute viruși stealth de toate tipurile, cu excepția Windows-virus - virușii de încărcare, fișier viruși DOS și viruși macro, chiar. Apariția unui virus stealth infectează fișierele Windows, probabil, o chestiune de timp.
viruși Stealth pentru a ascunde codul lor, folosind două modalități de bază. Primul dintre acestea este faptul că interceptările virus comenzile pentru a citi sectorul infectat (INT 13h) și o înlocuiește originalul, neinfectate. Această metodă face ca virusul invizibil pentru orice DOS programe, inclusiv anti-virus, în imposibilitatea de a „trata“ memoria calculatorului. Posibila interceptare a sectoarelor citit comenzi la un nivel mai mic decât 13H INT.
A doua metodă este îndreptată împotriva anti-virus, susține sectorul directă comanda de citire prin porturile controlerului de disc. Astfel de viruși atunci când porniți orice program (inclusiv anti-virus) infectate restabili sectorului, iar după încheierea funcționării sale infecta din nou discul. Deoarece acest virus este necesar pentru a intercepta începutul și sfârșitul programului, acesta trebuie de asemenea să intercepteze DOS întrerupere INT 21h.
Cele mai multe fișiere viruși stealth utilizează aceleași tehnici care sunt enumerate mai sus: acestea sunt fie DOS-intercept apeluri pentru a accesa fișiere (INT 21h), sau vindeca temporar fișier atunci când îl deschideți și să infecteze la închidere. Precum și pentru virușii de încărcare, există viruși de fișiere, folosind pentru funcțiile sale stealth pentru a intercepta întrerupe un nivel inferior - apeluri de driver DOS, INT 25h, și chiar 13h INT.
Complet fișier viruși stealth folosind prima metodă pentru a ascunde codul lor, cele mai multe dintre ele sunt destul de greoaie, deoarece acestea trebuie să prindă un număr mare de DOS funcții funcționează cu fișiere: deschidere și închidere, citire-scriere, căutare, alerga, redenumi, etc. precum și necesitatea de a menține ambele versiuni ale unora dintre provocările (FCB / ASCII), și odată cu apariția Windows 95 / NT, trebuie să se ocupe, de asemenea, oa treia opțiune - funcțiile de a lucra cu nume de fișiere lungi.
Unii viruși folosesc o parte din funcțiile unui -virusa „stealth“ cu drepturi depline. Cel mai adesea, acestea intercepta funcția DOS FindFirst și FindNext (INT 21h, AH = LLH, 12H, 4EH, 4Fh) și de a reduce dimensiunea fișierelor infectate. Un astfel de virus nu poate fi determinată de modificarea dimensiunea fișierului, desigur, în cazul în care acesta este rezident în memorie. Programele care nu se aplică la funcțiile specificate DOS (de exemplu, Norton Utilities), și în mod direct utilizează conținutul sectoarelor care stochează director, arată lungimea corectă a fișierelor infectate.
Implementarea algoritmilor în macro virus stealth este, probabil, cea mai simplă sarcină - doar suficient pentru a dezactiva de asteptare File / sau șabloane Tools / meniul Macro. Acest lucru se realizează fie prin îndepărtarea elementelor de meniu din listă, sau lor FileTemplates macro-uri de substituție și ToolsMacro.
O parte din viruși stealth poate fi numit un mic grup de viruși macro, care stochează codul principal nu este în macro, ca și în alte zone ale documentului - în variabilele sale, sau Auto-text.