Реферат: Компьюторныые вирусы

вать" зараженные файлы. Они считывают (при работающем вирусе) ин-

формацию из зараженных файлов и записывают их на диск в файл или

файлы, где эта информация хранится в неискаженном виде. Затем, уже

после загрузки с "чистой" дискеты, исполнимые файлы восстанавли-

ваются в исходном виде.

Самомодифицирующиеся вирусы.

Другой способ, применяемый вирусами для того, чтобы укрыться от

обнаружения, - модификация своего тела. Многие вирусы хранят

большую часть своего тела в закодированном виде, чтобы с помощью

дизассемблеров нельзя было разобраться в механизме их работы. Са-

момодифицирующиеся вирусы используют этот прием и часто меняют па-

раметры этой кодировки, а кроме того, изменяют и свою стартовую

часть, которая служит для раскодировки остальных команд вируса.

Таким образом, в теле подобного вируса не имеется ни одной пос-

тоянной цепочки байтов, по которой можно было бы идентифицировать

вирус. Это, естественно, затрудняет нахождение таких вирусов прог-

раммами-детекторами.

Однако программы-детекторы все же научились ловить "простые" са-

момодифицирующиеся вирусы. В этих вирусах вариации механизма рас-

шифровки закодированной части вируса касаются только использова-

ния тех или иных регистров компьютера, констант шифрования, добав-

ления "незначащих" команд и т.д. И программы-детекторы приспособи-

лись обнаруживать команды в стартовой части вируса, несмотря на

маскирующие изменения в них. Но в последнее время появились виру-

сы с чрезвычайно сложными механизмами самомодификации. В них стар-

товая часть вируса генерируется автоматически по весьма сложным

алгоритмам: каждая значащая инструкция расшифровщика передается

одним из сотен тысяч возможных вариантов, при этом используется

более половины всех команд Intel-8088. Проблема распознования та-