ПЕРЕЛІК ДИСЦИПЛІН:
  • Адміністративне право
  • Арбітражний процес
  • Архітектура
  • Астрологія
  • Астрономія
  • Банківська справа
  • Безпека життєдіяльності
  • Біографії
  • Біологія
  • Біологія і хімія
  • Ботаніка та сільське гос-во
  • Бухгалтерський облік і аудит
  • Валютні відносини
  • Ветеринарія
  • Військова кафедра
  • Географія
  • Геодезія
  • Геологія
  • Етика
  • Держава і право
  • Цивільне право і процес
  • Діловодство
  • Гроші та кредит
  • Природничі науки
  • Журналістика
  • Екологія
  • Видавнича справа та поліграфія
  • Інвестиції
  • Іноземна мова
  • Інформатика
  • Інформатика, програмування
  • Юрист по наследству
  • Історичні особистості
  • Історія
  • Історія техніки
  • Кибернетика
  • Комунікації і зв'язок
  • Комп'ютерні науки
  • Косметологія
  • Короткий зміст творів
  • Криміналістика
  • Кримінологія
  • Криптология
  • Кулінарія
  • Культура і мистецтво
  • Культурологія
  • Російська література
  • Література і російська мова
  • Логіка
  • Логістика
  • Маркетинг
  • Математика
  • Медицина, здоров'я
  • Медичні науки
  • Міжнародне публічне право
  • Міжнародне приватне право
  • Міжнародні відносини
  • Менеджмент
  • Металургія
  • Москвоведение
  • Мовознавство
  • Музика
  • Муніципальне право
  • Податки, оподаткування
  •  
    Бесплатные рефераты
     

     

     

     

     

     

         
     
    Аналіз алгоритму вірусу
         

     

    Інформатика, програмування
    Аналіз алгоритму вірусу
    На мій погляд, найбільш зручним для зберігання та аналізу вірусу об'єктом є
    файл, що містить його (вірусу) тіло. Як показує практика, дляаналіза
    файлового вірусу зручніше мати кілька заражених файлів різною, але не
    дуже великий, довжини. При цьому бажано мати заражені файли всехтіпов (COM,
    EXE, SYS, BAT, NewEXE), уражаються вірусом. Якщо необхідно проаналізувати
    частину оперативної пам'яті, то за допомогою деяких утиліт (наприклад, AVPUTIL.COM)
    досить просто виділити ділянку, де розташований вірус, і скопіювати його на
    диск. Якщо ж потрібен аналіз сектора MBR іліboot-сектора, то скопіювати їх в
    файли можна за допомогою популярних «Нортоновських утиліт» або AVPUTIL. Для
    зберігання завантажувального вірусу наіболееудобним є файл-образ зараженого
    диска. Для його отримання необхідно відформатувати дискету, заразити її
    вірусом, скопіювати образ дискети (всесектора, починаючи з нульового і кінчаючи
    останнім) в файл і при необхідності скомпрессіровать його (цю процедуру можна
    виконати за допомогою «Нортоновскіхутіліт», програм TELEDISK або DISKDUPE).
    Заражені файли або файл-образ зараженої дискети краще передати розробникам
    антивірусних програм по електронній пошті або, в крайньому випадку, на дискеті по
    звичайною поштою. Однак, якщо це займе багато часу, який, як відомо, не
    чекає, то користувачам, досить впевненим у собі, можнопопробовать і
    самостійно розібратися у вірусу і написати власний антивірус.
    При аналізі алгоритму вірусу належить з'ясувати:
    спосіб (и) розмноження вірусу;
    характер можливих пошкоджень, які вірус завдав інформації, що зберігається на
    дисках;
    метод лікування оперативної пам'яті і заражених файлів (секторів).
    При вирішенні цих завдань не обійтися без дизассемблер або відладчика (наприклад,
    відладчиком AFD, AVPUTIL, SoftICE, TorboDebugger, дізассемблеровSourcer або IDA).
    І відладчиком, і дизассемблер мають і позитивні і негативні риси -
    кожен вибирає те, що він вважає більш зручним. Нескладні короткі
    вірусибистро «розкриваються» стандартним відладчиком DEBUG, при аналізі об'ємних і
    високосложних поліморфік-стелс-вірусів не обійтися без дизассемблер.
    Еслінеобходімо швидко виявити метод відновлення уражених файлів,
    досить пройтися відладчиком по початку вірусу до того місця, де він
    восстанавліваетзагруженную програму перед тим, як передати їй управління
    (фактично саме цей алгоритм найчастіше використовується при лікуванні вірусу).
    Якщо ж требуетсяполучіть детальну картину роботи вірусу або добре
    документований лістинг, то крім дизассемблер Sourcer або IDA з їх
    можливостями восстанавліватьперекрестние посилання, тут навряд чи допоможе. До
    того ж слід враховувати, що, по-перше, деякі віруси досить успішно
    блокують попиткіпротрассіровать їх коди, а по-друге, при роботі з відладчиком
    ненульова існує ймовірність того, що вірус вирветься з-під контролю.
    При аналізі файлового вірусу необхідно з'ясувати, які файли (COM, EXE, SYS)
    вражаються вірусом, в яке місце (місця) у файлі записується код вірусу-в
    початок, кінець або середину файлу, в якому обсязі можливо відновлення файлу
    (повністю або частково), в якому місці вірус зберігає
    восстанавліваемуюінформацію.
    При аналізі завантажувального вірусу основним завданням є з'ясування адреси
    (адрес) сектора, в якому вірус зберігає початковий завантажувальний
    сектор (якщо, звичайно, вірус зберігає його).
    Для резидентного вірусу потрібно також виділити ділянку коду, що створює
    резидентну копію вірусу і обчислити можливі адреси точок входу
    вперехвативаемие вірусом переривання. Необхідно також визначити, яким чином
    і де в оперативній пам'яті вірус виділяє місце для своєї резидентної
    копії: записується чи вірус за фіксованими адресами в системні області DOS і
    BIOS, зменшує чи розмір пам'яті, виділеної під DOS (слово за адресою
    [0000:0413]), чи створює для себе спеціальний MCB-блок або використовує якийсь
    інший спосіб.
    Існують особливі випадки, коли аналіз вірусу може виявитися дуже складною для
    користувача завданням, наприклад при аналізі поліморфік-вірусу. У цьому случаелучше
    звернутися до фахівця з аналізу кодів програм.
    Для аналізу макро-вірусів необхідно отримати текст їх макросів. Для
    нешифрованих не-стелс вірусів це досягається за допомогою меню Tools/Macro.Еслі
    ж вірус шифрує свої макроси або використовує стелс-прийоми, то необхідно
    скористатися спеціальними утилітами перегляду макросів.
    Такіеспеціалізірованние утиліти є практично в кожної фірми-виробника
    антивірусів, проте вони є утилітами «внутрішнього користування» і не
    распространяютсяза межі фірм.
    На сьогоднішній день відома єдина shareware-програма для перегляду
    макросів - Perforin. Однак ця утиліта поки не підтримує файли Office97.



         
     
         
    Реферат Банк
     
    Рефераты
     
    Бесплатные рефераты
     

     

     

     

     

     

     

     
     
     
      Все права защищены. Reff.net.ua - українські реферати ! DMCA.com Protection Status