Читать реферат по информационной безопасности: "Компьютерный файлово-загрузочный полиморфный стелс-вирус ONEHALF 3544, особенности алгоритма и метод..." Страница 3

(Назад) скачать (Cкачать работу)

Функция "чтения" служит для ознакомления с работой. Разметка, таблицы и картинки документа могут отображаться неверно или не в полном объёме!

сектор 1 сторона

- Оригинальный MBR.

0 дорожка 11 сектор 1 сторона

0 дорожка 12 сектор 1 сторона

0 дорожка 13 сектор 1 сторона

7 секторов, содержащие

0 дорожка 14 сектор 1 сторона

тело вируса.

0 дорожка 15 сектор 1 сторона

0 дорожка 16 сектор 1 сторона

Алгоритм инсталляции вируса.При запуске зараженного файла на исполнение или загрузке с зараженного MBR вирус при помощи собственного обработчика прерывания Int12h – выдача объема памяти - оценивает количество свободной оперативной памяти и наличие своей копии в памяти и если ее менее 4 килобайт или память уже содержит тело вируса - отдает управление файлу или оригинальному загрузчику. Для поиска своей копии в памяти вирус вызывает несуществующую DOS - функцию (прерывание Int 21h, функция 54h). Если вируса нет в памяти, то в регистр АХ возвращается код ошибки выполнения функции. Если вирус уже загружен в память, то он перехватывает эту функцию и возвращает в регистр АХ некое число, отличное от кода ошибки. По наличию этого числа вирус определяет наличие своей копии в памяти и не заражает ее повторно. При наличии 4 и более килобайт свободного ОЗУ и отсутствии тела вируса в памяти вирус сначала анализирует геометрию диска при помощи собственного обработчика прерывания Int13h ( дисковые операции), ищет последний DOS диск или Extended Partition в системе, ищет признак заражения MBR (03Dh в MBR). Если MBR не заражен, то пишет 7 секторов кода своего тела в 7 секторов от конца 0 дорожки диска в скрытых секторах, а затем пишет оригинальный MBR в восьмой от конца 0 дорожки диска. После записи своего тела на диск или получив признак зараженности MBR, вирус анализирует наличие своего тела в памяти и при отсутствии переписывает 7 секторов своего тела с диска. При наличии тела в памяти вирус отдает ему управление.

Далее вирус использует свои обработчики прерываний:

Int1h – прерывание отладки и трассировки – для «завешивания» системы при попытке трассировать код вируса в память;

Int 1Ch – таймер – для перехвата DOS (прерывание Int 21h) при его загрузке;

Int13h – дисковые операции – для обслуживания чтения – записи дисков и операции шифровки-расшифровки дорожек диска. При этом вирусу приходится использовать для этого метод трассировки (пошагового исполнения) оригинального обработчика для определения точки входа данного прерывания. Это нужно для корректного возврата прерывания обратно. Вирус вынужден вызывать оригинальное прерывание отладки и выполнять перехват в пошаговом режиме;

Int24h – критическая ошибка – для перехвата сообщения о критической ошибке при неудачных попытках записи на диск.

В случае старта с зараженного файла вирус лечит его в памяти и записывает на диск уже не зараженным.

Далее вирус считывает из MBR нижнюю границу зашифрованной дорожки и анализирует, не дошла ли граница до седьмой дорожки от начала диска. Если шифрование дошло до этого значения, то шифрация запрещается для того, чтобы не повредить системные области диска. Если не дошло, то вирус шифрует две дорожки вверх от нижней границы шифрованных дорожек используя ключ, хранящийся в MBR. Следует учитывать, что ключ генерируется из случайного числа при заражении диска и на каждом диске является уникальным. Это является одним из признаков полиморфизма. При

Главное меню

Читать реферат по информационной безопасности: "Компьютерный файлово-загрузочный полиморфный стелс-вирус ONEHALF 3544, особенности алгоритма и метод..." Страница 3

Похожие работы

О проекте Статистика Упоминания	Войти
Главное меню Главная Добавить работу Новинки Рубрикатор Заказать работу	Рефератов: 766982 Объём: 870.5 Гб За неделю + 0 работ