Cum și unde să găsiți virusul
Detectarea virusului de boot
Sectoarele de boot sunt amplasate, de regulă, sunt programe mici, al căror scop este de a determina mărimea și limitele de unități logice (pentru MBR) sau un sistem de operare de boot (pentru sectorul de încărcare).
La început, trebuie să citiți conținutul sectorului suspect de prezența virusului. În acest scop, este convenabil să utilizați DISKEDIT din "utilitarele Norton" sau AVPUTIL din suita profesională AVP.
Unii viruși de boot pot fi detectate aproape imediat prin prezența diferitelor șiruri de text (de exemplu, „Stoned“ virusul conține liniile: „PC-ul este acum Stoned!“, „Legalizeze MARIJUANA!“). Unele virusuri care infectează sectorul de boot-disc, prin contrast, sunt definite de lipsa de linii care trebuie să fie prezente în sectorul de încărcare. Aceste linii includ numele fișierelor de sistem (de exemplu, șirul "IO SYSMSDOS SYS") și linia mesajelor de eroare. Absența sau modifica antetul rândului-boot-sector (un șir de caractere care conține numărul versiunii de DOS sau numele software-ului producătorului, de exemplu, „MSDOS5.0“ sau „MSWIN4.0“) poate fi, de asemenea un semnal al unei infecții virale, în cazul în care nu pe calculator instalat Windows95 / NT - aceste sisteme din motive necunoscute pentru mine înregistrate în antetul sectorului de boot de dischete siruri de text aleatoare.
Standard MS-DOS bootloader situat în MBR, ocupă mai puțin de jumătate din sector, și multe virusuri care infectează MBR-ul, pur și simplu văzută de creșterea în lungime de cod, care se află în sectorul MBR.
Cu toate acestea, există viruși care sunt injectați în încărcător fără a schimba șirurile de text și cu modificări minime ale codului de încărcare. Pentru a detecta un astfel de virus, în cele mai multe cazuri, discheta suficient de format cu un calculator neinfectat cunoscut, salvați-l ca fișier de sectorul de încărcare, apoi ceva timp să-l folosească pe computerul infectat (scriere / citire mai multe fișiere), apoi pe un calculator neinfectat pentru a compara sectorul său de boot cu cel original. Dacă codul sectorului de pornire se modifică, virusul este prins.
Motivația de mai sus se bazează pe faptul că încărcătorii standard (programele scrise de sistemul de operare în sectoarele de boot) implementează algoritmi standard pentru încărcarea sistemului de operare și sunt proiectați în conformitate cu standardele sale. În cazul în care unitățile sunt utilități formatate, nu fac parte din DOS (de exemplu, Disk Manager), apoi pentru a detecta virusul în ele ar trebui să fie analizate și algoritmul de executarea încărcătoarelor produse de acest utilitar.
Detectarea unui virus de fișier
După cum sa menționat, virusii sunt împărțiți în rezidenți și nerezidenți. Virușii rezidenți care s-au întâlnit până acum au fost mult mai vicleni și mai sofisticați decât cei nerezidenți. Deci, mai întâi, să luăm în considerare cel mai simplu caz - înfrângerea computerului de un virus necunoscut necunoscut. Un astfel de virus este activat atunci când începe oricare din programul infectat, face tot ce se presupune că, în conformitate cu programul de gazdă în viitor (spre deosebire de viruși) nu va interfera cu munca ei. Pentru a detecta un astfel de virus, trebuie să comparați lungimea fișierelor pe hard disk și în copii de distribuție (menționarea importanței stocării acestor copii a devenit deja obișnuită). Dacă acest lucru nu ajută, atunci ar trebui să comparați copii de distribuție cu octetul byte de către programele utilizate. În prezent, au fost dezvoltate o mulțime de utilități pentru o astfel de comparare a fișierelor, cea mai simplă (utilitatea COMP) este conținută în DOS.
Există încă o modalitate de a identifica vizual un fișier DOS infectat cu virus. Se bazează pe faptul că fișierele executabile, ale căror cod sursă este scris într-un limbaj de nivel înalt, au o anumită structură. În cazul Borland sau Microsoft C / C ++ segment de cod este la începutul fișierului, și chiar în spatele lui - segmentul de date, iar la începutul acestui segment ar trebui să se alinieze drepturi de autor producător compilator. Dacă dumpul unui astfel de fișier este urmat de o altă bucată de cod în spatele segmentului de date, este probabil ca fișierul să fie infectat cu un virus.
Același lucru este valabil și pentru majoritatea virușilor care infectează fișierele Windows și OS / 2. În fișierele executabile ale acestor sisteme de operare, destinația de plasare standard este în ordinea următoare: segmentul (ele) de cod urmat de segmentele de date. Dacă există un alt segment al codului din spatele segmentului de date, acesta poate servi și ca un semnal pentru prezența virusului.
Trebuie remarcat faptul că rezidentul DOS-blocantele sunt adesea lipsiți de putere, dacă lucrați în DOS-fereastră sub Windows95 / NT, deoarece Windows95 / NT permite virusului să lucreze „în jurul valorii de“ blocant (ca, într-adevăr, și toate celelalte programe rezidente). Dozătoarele DOS nu pot, de asemenea, să oprească răspândirea virușilor Windows.
Metodele de detectare a virușilor de fișiere și boot-uri de mai sus sunt potrivite pentru majoritatea virușilor rezidenți și nerezidenți. Cu toate acestea, aceste metode nu funcționează dacă virusul este implementat utilizând tehnologia stealth, ceea ce face inutil să utilizați majoritatea blocatorilor rezidenți, utilitarele de comparare a fișierelor și citirea în sectoare.
Manifestările tipice ale virușilor macro sunt:
Word: incapacitatea de a converti un document Word infectat într-un alt format.
Word: fișierele infectate au formatul Șablon (șablon), deoarece atunci când infectați viciile Word, convertiți fișierele din formatul documentului Word în Șablon.
Numai Word 6: incapacitatea de a scrie un document într-un alt director / pe alt disc prin comanda "Save As".
Excel / Word: în directorul STARTUP există fișiere "străine".
Versiunile Excel 5 și 7: prezența foilor suplimentare și ascunse în Cartea.
Pentru a verifica prezența virusului în sistem, puteți utiliza elementul de meniu Instrumente / Macro. Dacă se găsesc "macro-uri străine", acestea pot aparține virusului. Cu toate acestea, această metodă nu funcționează în cazul virușilor stealth care interzic funcționarea acestui element de meniu, care, la rândul său, este un motiv suficient pentru a considera sistemul infectat.
Multe viruși au erori sau funcționează incorect în diferite versiuni de Word / Excel, ceea ce duce la emiterea mesajelor de eroare Word / Excel, de exemplu:
WordBasic Err = număr de eroare
Dacă apare un astfel de mesaj când se editează un document nou sau o tabelă și nu se cunosc macrocomenzi de utilizatori, acest lucru poate fi, de asemenea, un semn de infectare a sistemului.
Un semnal despre virus sunt modificări ale fișierelor și ale configurației sistemului Word, Excel și Windows. Multe viruși modifică elementele de meniu Instrumente / Opțiuni într-un fel sau altul - permit sau interzice funcțiile "Prompt pentru salvarea șablonului normal", "Permite salvarea rapidă", "Protecția împotriva virușilor". Anumiți viruși instalați o parolă pe fișiere atunci când sunt infectați. Un număr mare de viruși creează noi secțiuni și / sau opțiuni în fișierul de configurare Windows (WIN.INI).
Detectarea unui virus rezident
Dacă computerul afișează urme ale virusului, dar nu există modificări vizibile în fișierele și sectoarele de sistem ale discurilor, este foarte posibil ca
calculatorul este lovit de unul dintre virușii stealth. În acest caz, trebuie să încărcați DOS de pe o dischetă fără virus care conține o copie de siguranță a DOS și să acționați ca un virus nerezident. Cu toate acestea, uneori acest lucru este nedorit și, în unele cazuri, imposibil (cunoscut, de exemplu, cazurile de cumpărare de computere noi infectate cu virusul). Apoi, este necesar să se detecteze și să se neutralizeze partea rezidentă a virusului, efectuată de tehnologia "stealth". Se pune întrebarea: unde în memorie și cum să căutați un virus sau partea rezidentă a acestuia? Există mai multe moduri de a infecta memoria.
1. Virusul poate pătrunde în tabelul vectorilor de întrerupere
Dacă există vreun virus în tabela vectorilor de întrerupere, utilitarul care afișează hartă de alocare a memoriei (de exemplu, AVPTSR.COM, AVPUTIL.COM) începe să "facă zgomot".
Tabelul 3.1. Harta de distribuție a memoriei neinfectate
Tabelul 3.2. Tabelul de vectori de întrerupere este afectat de virus
2. Virusul poate integra mai multe moduri în DOS: într-un driver de sistem arbitrar, clipboard-ul de sistem, DOS în cealaltă zonă de lucru (de exemplu, o regiune de sistem stivă sau într-un spațiu liber, și tabele DOS BIOS)
Un virus încorporat în tampon de sistem ar trebui să reducă numărul total de tampoane; altfel va fi distrusă prin operațiile de citire ulterioare de pe disc. Este destul de ușor să scrie un program care contorizează numărul de tampoane de fapt, prezente în sistem, și compară rezultatul cu valoarea comenzii BUFFERE, situat în CONFIG.SYS fișier (dacă BUFFERE comanda lipsește, valoarea utilizată în mod implicit de către DOS).
3. Virusul poate pătrunde în zona de program sub forma:
un program rezident separat sau un bloc de memorie separat (MCB);
în interiorul sau "lipit" de orice program rezident.
Tabelul 3.3.a. Virus în domeniul programelor de utilizator
Tabelul 3.3.b. Virusul din domeniul programelor de utilizatori (UMB)
4. Virusul poate pătrunde în limita memoriei alocate pentru DOS
Atenție vă rog! Capacitatea RAM poate fi redusă cu 1 sau mai multe kilobyte și ca urmare a utilizării memoriei extinse sau a unor tipuri de controlere. În același timp, următoarea imagine este tipică: în secțiunea "tăiat", conținutul majorității octeților este zero.
5. Virusul poate fi încorporat în programe rezonabile de memorie cunoscute sau "lipit" de blocurile de memorie deja existente
Posibil infectate cu virus de fișier DOS, care sunt rezidente (de exemplu, IO.SYS, msdos.sys, COMMAND.COM), drivere încărcate (ANSY.SYS, COUNTRY.SYS, RAMDRIVE.SYS), și altele. Pentru a detecta un astfel de virus este mult mai dificil, din cauza scăzut viteza de răspândire a acestuia, însă probabilitatea atacului unui astfel de virus este mult mai mică. Din ce în ce au început să se întâlnească viruși „scamatorie“, care modulează antete blocuri de memorie sau „ieftin“ DOS, astfel încât codurile bloc cu virusul devine una cu blocul de memorie precedent.
Există virusi cunoscuți care nu utilizează întreruperi atunci când infectează fișiere sau discuri, dar lucrează direct cu resursele DOS. Când căutați un virus similar, trebuie să investigați cu atenție modificările din structura internă a sistemului DOS infectat: lista de drivere, tabele de fișiere, stive DOS etc. Aceasta este o lucrare foarte amănunțită și, având în vedere numărul mare de versiuni ale DOS, necesită abilități foarte mari pentru utilizatori.
Detectarea unui virus Windows rezident este extrem de dificilă. Virusul, fiind în mediul Windows ca o aplicație sau VxD-dwiver, practic
Este invizibil, deoarece mai multe zeci de aplicații și VxD sunt active în același timp, iar virusul nu se deosebește de acestea prin semne externe. Pentru a detecta programul de virusi în listele de aplicații active și VxD, trebuie să înțelegeți bine "insidele" Windows și să aveți o înțelegere deplină a driverelor și aplicațiilor instalate pe acest computer.
Prin urmare, singura modalitate acceptabilă de a captura un virus Windows rezident este de a încărca DOS și de a verifica fișierele de pornire Windows utilizând metodele descrise mai sus.