WYSZUKIWARKA:

POWIADAMIARKA:

• Cykl życia typowego wirusa
• Inicjacja wirusa
• Ładowanie się wirusa
• Wirusy - sektor ładowania systemu operacyjnego DOS
• infekcja w sektorze ładowania

Jesteś w: Strona główna

Wirus w pliku COM albo EXE (dwa wykonywalne formaty plików dla IBM PC) może być aktywowany w wyniku bezpośredniego wykonania polecenia użytkownika albo włączenia do pliku wsadowego BAT. W skrócie wystarczy powiedzieć, że plik COM zawiera pojedynczy obraz kodu wynikowego, jaki pojawiłby się w pamięci. Taki plik COM jest ładowany do segmentu pamięci o pojemności 64 KB, alokowanego wyłącznie dla programu. Teoretycznie wszystkie odwołania do pamięci z tego programu są ograniczone do tego segmentu. IBM PC nie ma sprzętowego zarządzania pamięcią ...

Język poleceń systemu DOS ma bogaty i urozmaicony zbiór poleceń użytkownika, które mogą być wywoływane bezpośrednio albo pośrednio metodami plików wsadowych. Polecenia te obejmują: funkcje wywołania pliku wsadowego (podobne do wywoływania procedury); iteracje przez goto i for; warunkowe wykonywanie poleceń przez if. Przy tak bogatym zbiorze możliwości można utworzyć uniwersalnego wirusa wsadowego. Taki wirus realizuje algorytm: Otwórz plik docelowy It nie ma sygnatury ...

Po zlokalizowaniu sektora ładowania na dysku elastycznym lub twardym, dalsza sekwencja jest następująca: Załadowanie programu IO.SYS albo IBMBIO.COM (pierwszy dla MS-DOS a drugi dla PC-DOS) z zainicjowanej partycji dysku. Jest to pierwszy plik w katalogu głównym partycji. Program zawiera dwa składniki: kod BIOS-u (zawierający programy sterujące urządzeń i kod inicjacji) i program SYSINIT. Ten ostatni program jest odpowiedzialny za nadzorowanie pozostałej części procesu inicjacji. SYSINIT sprawdza pamięć, a następnie ładuje do pamięci k...

Bardzo często wirusy sektora ładowania przeszukują tablicę FAT w poszukiwaniu wolnej jednostki alokacji pliku. Taka jednostka jest oznaczana jako uszkodzona i używana do przechowywania kodu wirusa, który nie mieści się w oryginalnym sektorze ładowania. Wskaźnikiem infekcji w sektorze ładowania jest więc obecność uszkodzonej jednostki alokacji pliku na dyskietce (większość dyskietek dostarczanych obecnie przez producentów jest wolna od uszkodzeń). Należy jednak pamiętać, że wszystkie nośniki magnetyczne mają tendencję do stopniowej degradac...

Następnym krokiem w procesie inicjacji jest wykonanie kodu z sektora ładowania umieszczonego w dobrze znanym miejscu: głowica 0, sektor 1, ścieżka 0 na dyskach elastycznych albo na początku partycji w dyskach twardych. Ten sektor zawiera również informacje o tym, jak DOS będzie interpretował dane w partycji. Strukturę sektora ładowania podano w dodatku 1. Sektor ładowania zawiera maksymalnie 1C3h (451) bajtów kodu wykonywalnego dla systemu DOS wersje 2 i 3 albo 1COh (448) bajtów dla wersji 4. Ten kod jest używany do zlokalizowania następnego ...