Există o diviziune a virusurilor polimorfe în straturi în funcție de complexitatea codului care apare în decodificatorii acestor virusuri. Această diviziune a fost inițial propusă de Dr. Alan Solomon, după un timp Vesselin Bonchev l-a extins.
Nivelul 1: viruși care au un set de decryptori cu cod constant și când sunt infectați, alegeți unul dintre ei. Astfel de virusuri sunt "semi-polimorfe" și se mai numesc "oligomorf". Exemple: "Cheeba", "Slovacia", "Balena".
Nivelul 2: Decriptorul de virus conține una sau mai multe instrucțiuni permanente, dar cea mai mare parte este instabilă.
Nivelul 3: decriptorul conține instrucțiuni neutilizate - "gunoi" de tip NOP, CLI, STI etc.
Nivelul 4: Decryptorul folosește instrucțiuni interschimbabile și modifică ordinea următoarelor instrucțiuni (amestecare). Algoritmul de decriptare nu se modifică.
Nivelul 5: toate metodele de mai sus sunt folosite, algoritmul de decriptare este instabil, este posibilă re-criptarea codului virusului și chiar criptarea parțială a codului decryptorului în sine.
Nivelul 6: virusurile permutatoare. Modificarea este supusă codului principal al virusului - este împărțit în blocuri, care, atunci când sunt infectate, sunt rearanjate în orice ordine. Virusul rămâne funcțional. Astfel de viruși pot fi necriptați.
Diviziunea de mai sus nu este lipsită de dezavantaje, deoarece este produsă printr-un singur criteriu - capacitatea de a detecta virusul prin codul de decriptare utilizând metoda standard de primire a măștilor de virus:
Nivelul 1: este suficient să aveți mai multe măști pentru detectarea virușilor
Nivelul 2: detectarea măștilor utilizând "metacaractere"
Nivelul 3: detectarea măștii după ștergerea instrucțiunilor "gunoi"
Nivelul 4: Masca conține mai multe opțiuni de cod posibil, adică
Nivelul 5: incapacitatea de a detecta un virus prin mască
Insuficiența acestei divizări este demonstrată în virusul celui de-al treilea nivel al polimorfismului, numit "Nivelul 3". Acest virus, fiind unul dintre cele mai complexe virusuri polimorfe, se încadrează în nivelul 3 din diviziunea de mai sus, deoarece are un algoritm permanent de decriptare, care este precedat de un număr mare de comenzi "gunoi". Cu toate acestea, în acest virus, algoritmul de generare a "gunoiului" este perfecționat: aproape toate instrucțiunile procesorului i8086 pot fi găsite în codul de decriptare.
Dacă vă împărțiți în nivele din punctul de vedere al antivirusurilor care utilizează decodificarea automată a codului (emulatori), împărțirea în nivele va depinde de complexitatea emulației codului de virus. Este posibil să se detecteze virusul și alte metode, de exemplu, descifrarea cu ajutorul legilor matematice elementare etc.
Prin urmare, mi se pare o diviziune mai obiectivă, în care pe lângă criteriul măștilor virale sunt implicați și alți parametri.
1. Gradul de complexitate al codului polimorf (procentul tuturor instrucțiunilor procesorului care pot apărea în codul de decriptare)
2. Utilizarea tehnicilor anti-emulator
3. Persistența algoritmului de decriptare
4. Lungimea constantă a decryptorului
Nu aș vrea să dezvălu mai detaliat aceste puncte, pentru că, în consecință, acest lucru va încuraja în mod neechivoc pe scriitorii de virusi să creeze astfel de monștri.
Toate subiectele din această secțiune:
Algoritmul virusului de boot
Aproape toți virușii de boot sunt rezidenți. Acestea sunt încorporate în memoria calculatorului când se pornește de pe un disc infectat. În acest caz, încărcătorul de sistem citește conținutul primului sector al discului, cu
Viruși de fișiere
1. Modalități de infectare 2. Alte observații
Modalități de infectare -> Suprascriere
Această metodă de infectare este cea mai simplă: virusul scrie codul său în locul codului fișierului infectat, distrugând conținutul acestuia. Firește, prin aceasta, fișierul nu mai funcționează și nu se reconstruiește
Modalități de infectare -> Viruși fără punct de intrare
În mod separat, trebuie remarcat un grup relativ mic de viruși care nu au un "punct de intrare" (virusurile EPO - virusuri de intrare). Acestea includ viruși care nu scriu comenzi
Modalități de infectare -> Viermi de fișiere
Viermele de fișiere (viermi) sunt, într-un fel, un fel de viruși de companie, dar nu leagă în nici un fel prezența lor cu niciun fișier executabil. Când se înmulțesc, ei
Modalități de infectare -> Viruși de legătură
Virușii de legătură, ca virușii însoțitori, nu modifică conținutul fizic al fișierelor, dar atunci când fișierul infectat este lansat, sistemul de operare este obligat să execute codul. Acest obiectiv realizează modificări
Modalități de infectare -> OBJ-, LIB-viruși și viruși în codul sursă
Virușii care infectează bibliotecile de compilatoare, modulele de obiecte și codul sursă al programelor sunt destul de exotice și practic nu sunt comune. Există aproximativ o duzină de ele. Virusurile care infectează OBJ- și LIB-
Introducerea unui virus în fișiere DOS COM și EXE
Binarele DOS executabile au formate COM sau EXE, care diferă în antetul și modul de rulare a programelor pentru execuție. Extensia numelui fișierului (".COM" sau ".EXE") nu este întotdeauna
Prizonieră deghizare
Atunci când un fișier este infectat, virusul poate efectua o serie de acțiuni care maschează și accelerează distribuția acestuia. Astfel de acțiuni includ procesarea atributului numai pentru citire, eliminarea acestuia înainte de a fi infectat
Viteza propagării
Referindu-se la virușii de fișiere, este necesar să notăm o astfel de caracteristică ca viteza propagării. Cu cât virusul se răspândește mai repede, cu atât este mai probabil ca epidemia acestui virus să apară. Cursurile mai lent
Algoritmul virusului fișierului
După ce a primit controlul, virusul efectuează următoarele acțiuni (o listă cu cele mai frecvente acțiuni ale virusului este executată atunci când este executată, pentru un anumit virus lista poate fi completată, elementele se pot schimba
Virusi macro -> Viruși Word / Excel / Office97. Principiile muncii
Când lucrați cu un document Word, versiunile 6 și 7 efectuează diferite acțiuni: deschideți un document, salvați, imprimați, închideți etc. În acest caz, Word caută și execută corespondentul "built-in poppy"
Macro virusuri -> Viruși macro algoritm word
Cele mai cunoscute Word-Virusuri (versiunile 6, 7 și Word97) la început transferă codul lor (macro-uri) în zona macrocomenzilor globale ale documentului (macrocomenzi "comune"), pentru aceasta folosesc o comă
Macro virusuri -> Algoritm de virus pentru acces
Deoarece accesul face parte din Office97 Pro, virușii pentru Access sunt aceleași macrocomenzi în Visual Basic ca și celelalte viruși care infectează aplicațiile Office97. Cu toate acestea, în
Virusuri polimorfe -> decodificatoare polimorfe
Cel mai simplu exemplu de decryptor parțial polimorfic este următorul set de comenzi, ca urmare a cărui octet al codului virusului însuși și al decryptorului său nu este permanent
Virușii polimorfici -> Modificarea codului executabil
Cel mai adesea această metodă de polimorfism este folosită de macrovirusurile care, atunci când creează copiile lor noi, schimbă aleatoriu denumirile variabilelor lor, introduc linii goale sau se schimbă de la
Viruși stealth -> Viruși de boot
Virușii stealth bootabili folosesc două metode principale pentru a-și ascunde codul. Primul este că virusul interceptează comenzile citite ale sectorului infectat (INT 13h) și înlocuitorii
Viruși stealth -> Viruși de fișiere
Majoritatea virușilor de stealth de fișiere utilizează aceleași tehnici ca cele de mai sus: ele interceptă apelurile DOS la accesul la fișiere (INT 21h) sau tratează temporar fișierul când acesta este deschis și îl infectează
Viruși stealth -> Viruși macro
Implementarea algoritmilor stealth în virușii macro este probabil cea mai simplă sarcină - pur și simplu pentru a dezactiva opțiunea de meniu Fișier / Șabloane sau Instrumente / Macro. Acest lucru se realizează fie prin eliminarea
Virusi rezidenți -> DOS-viruși
DOS oferă două modalități legale de a crea module rezidente: driverele specificate în CONFIG.SYS și utilizând funcția KEEP (INT 21h, AH = 31h sau INT 27h). Mulți viruși de fișiere pentru ma
Viruși rezidenți -> Viruși Windows
Pentru a lăsa codul executabil în memoria Windows, există trei moduri, toate cele trei metode (cu excepția Windows NT) fiind deja folosite de diferiți viruși. Cea mai simplă cale
Alte "programe dăunătoare" -> Viruși destinați
Acești viruși includ programe care la prima vedere sunt 100% viruși, dar nu se pot reproduce din cauza erorilor. De exemplu, un virus care, atunci când este infectat, uită
Alte "programe daunatoare" -> Constructori de virusi
Un constructor de virusi este un utilitar conceput pentru a produce noi viruși de computer. Cunoscuți designeri de virusi pentru DOS, Windows și macrovirusuri. Acestea vă permit să generați t inițial
Alte "programe dăunătoare" -> Generatoare polimorfe
Generatoarele polimorfe, cum ar fi designerii de virusi, nu sunt viruși în sensul literal al cuvântului, deoarece algoritmul lor nu conține funcții de propagare, adică deschidere, închidere și înregistrare în
IRC viermi -> clienți IRC
Pe computerele cu MS Windows, cei mai cunoscuți clienți sunt mIRC și PIRCH. Acestea nu sunt produse foarte mari, ci destul de complexe, care, în plus față de furnizarea de servicii IR de bază
IRC Worms -> Worm Script
Așa cum sa dovedit, un sistem puternic și ramificat de comenzi client IRC face posibilă crearea de viruși de calculator, bazate pe scripturile lor, care transmit codul lor la computerele utilizatorilor de rețea IRC, așa-numitele
IRC viermi -> Win95.Fono
Un virus polimorf al unui fișier rezident periculos. Utilizează mIRC ca una dintre căile de distribuire: interceptează evenimentele sistemului Windows și când activează fișierul MIRC32.EXE
IRC viermi -> pIRCH.Events
Primul vierme PIRCH cunoscut. Se trimite fiecărui utilizator care se alătură canalului. Cuvintele cheie efectuează diferite acțiuni, de exemplu: pe comanda ".query"
Viruși de rețea
Rețeaua include viruși, care pentru distribuția lor utilizează în mod activ protocoalele și capabilitățile rețelelor locale și globale. Principiul principal al virusului de rețea este posibilitatea
Articole similare
Trimiteți-le prietenilor: