Аналіз алгоритму вірусу b> p>
На мій погляд, найбільш зручним для зберігання та аналізу вірусу об'єктом є файл, що містить його (вірусу) тіло. Як показує практика, для
аналізу файлового вірусу зручніше мати кілька заражених файлів різною, але не дуже великий, довжини. При цьому бажано мати заражені файли всіх
типів (COM, EXE, SYS, BAT, NewEXE), уражаються вірусом. Якщо необхідно проаналізувати частину оперативної пам'яті, то за допомогою деяких утиліт
(наприклад, AVPUTIL.COM) досить просто виділити ділянку, де розташований вірус, і скопіювати його на диск. Якщо ж потрібен аналіз сектора MBR або
boot-сектора, то скопіювати їх у файли можна за допомогою популярних «Нортоновських утиліт» або AVPUTIL. Для зберігання завантажувального вірусу найбільш
зручним є файл-образ зараженого диска. Для його отримання необхідно відформатувати дискету, заразити її вірусом, скопіювати образ дискети (усі
сектора, починаючи з нульового і закінчуючи останнім) в файл і при необхідності скомпрессіровать його (цю процедуру можна виконати за допомогою «Нортоновських
утиліт », програм TELEDISK або DISKDUPE). p>
Заражені файли або файл-образ зараженої дискети краще передати розробникам антивірусних програм по електронній пошті або, в крайньому випадку,
на дискеті звичайною поштою. Однак, якщо це займе багато часу, який, як відомо, не чекає, то користувачам, досить впевненим у собі, можна
спробувати і самостійно розібратися у вірусу і написати власний антивірус. p>
При аналізі алгоритму вірусу належить з'ясувати: p>
спосіб (и) розмноження вірусу;
характер можливих пошкоджень, які вірус завдав інформації,
що зберігається на дисках;
метод лікування оперативної пам'яті і заражених файлів (секторів).
При вирішенні цих завдань не обійтися без дизассемблер або відладчика (наприклад, відладчиком AFD, AVPUTIL, SoftICE, TorboDebugger, дизассемблер
Sourcer або IDA). P>
і Відладчик, і дизассемблер мають і позитивні і негативні риси - кожен вибирає те, що він вважає більш зручним. Нескладні короткі віруси
швидко «розкриваються» стандартним відладчиком DEBUG, при аналізі об'ємних і високосложних поліморфік-стелс-вірусів не обійтися без дизассемблер. Якщо
необхідно швидко виявити метод відновлення уражених файлів, досить пройтися відладчиком по початку вірусу до того місця, де він відновлює
завантажену програму перед тим, як передати їй керування (фактично саме цей алгоритм найчастіше використовується при лікуванні вірусу). Якщо ж потрібно
отримати детальну картину роботи вірусу або добре документований лістинг, то крім дизассемблер Sourcer або IDA з їхніми можливостями відновлювати
перехресні посилання, тут навряд чи допоможе. До того ж слід враховувати, що, по-перше, деякі віруси досить успішно блокують спроби
протрассіровать їх коди, а по-друге, при роботі з відладчиком ненульова існує ймовірність того, що вірус вирветься з-під контролю. p>
При аналізі файлового вірусу необхідно з'ясувати, які файли (COM, EXE, SYS) уражаються вірусом, в яке місце (місця) у файлі записується код вірусу
- На початок, кінець або середину файлу, в якому обсязі можливо відновлення файлу (повністю або частково), в якому місці вірус зберігає відновлювану
інформацію. p>
При аналізі завантажувального вірусу основним завданням є з'ясування адреси (адрес) сектора, в якому вірус зберігає початковий завантажувальний сектор
(якщо, звичайно, вірус зберігає його). p>
Для резидентного вірусу потрібно також виділити ділянку коду, що створює резидентну копію вірусу і обчислити можливі адреси точок входу в
перехоплюваних вірусом переривання. Необхідно також визначити, яким чином і де в оперативній пам'яті вірус виділяє місце для своєї резидентного копії:
записується чи вірус за фіксованими адресами в системні області DOS і BIOS, зменшує чи розмір пам'яті, виділеної під DOS (слово за адресою [0000:0413]),
чи створює для себе спеціальний MCB-блок або використовує якийсь інший спосіб. p>
Існують особливі випадки, коли аналіз вірусу може виявитися дуже складним для користувача завданням, наприклад при аналізі поліморфік-вірусу. У цьому випадку
краще звернутися до фахівця з аналізу кодів програм. p>
Для аналізу макро-вірусів необхідно отримати текст їх макросів. Для нешифрованих не-стелс вірусів це досягається за допомогою меню Tools/Macro.
Якщо ж вірус шифрує свої макроси або використовує стелс-прийоми, то необхідно скористатися спеціальними утилітами перегляду макросів. Такі
спеціалізовані утиліти є практично в кожної фірми-виробника антивірусів, проте вони є утилітами «внутрішнього користування» і не поширюються
за межі фірм. p>
На сьогоднішній день відома єдина shareware-програма для перегляду макросів - Perforin. Однак ця утиліта поки не підтримує файли Office97. P>