Борис Как известно, первые вирусы появились давно. Они заражали древниекомпьютеры, и ничто не могло их остановить, кроме бдительного пользователямашины. Затем были придуманы антивирусы, определяющие их по характернымсимптомам. Но через какое-то время вирус перестал быть тупой мишенью дляантивируса. Теперь вирус был наделен специальными возможностями, чтопозволяло ему быть незамеченным в системе. Одним из вариантов защиты отопределения является полиморфизм. В далеком 1990 году он чуть было непогубил всю антивирусную индустрию. Только благодаря профессионализмуработников лаборатории были внедрены сложные методы, направленные науничтожение полиморфных вирусов...Как же они работают? Вообще, полиморфизм - высококлассная техника,позволяющая вирусу быть незамеченным по стандартной сигнатуре (или,попросту, маске). Обычно детекторы определяют вирус по характерным кускамего кода. В случае с полиморфным вирусом такое не пройдет. Два файла,зараженные одним и тем же вирусом, всегда будут иметь разный размер. Засечьтакой вирус очень сложно.Все полиморфные вирусы обязательно снабжаются расшифровщиком кода, которыйпо определенному принципу преобразует переданный ему код, вызывая при этомстандартные функции и процедуры операционной системы. Сами методышифрования могут быть разными, но, как правило, каждая операция имеет своюзеркальную пару. В ассемблере это реализуется очень просто, и таких парможет быть много - ADD/SUB, XOR/XOR, ROL/ROR и т.п. Подобные операциипроводятся для расшифровки ячеек памяти.Немаловажной особенностью полиморфного вируса является то, что вируссодержит мусор, то есть операнды, функции и процедуры, которые служат лишьдля запутывания кода. При этом реализуются две цели:1. Сложность изучения кода при трассировке файла. Эта цель актуальна лишьдля новичка, профессионал, который изучением вирусов занимался многиегоды, сразу во всем разберется.2. Увеличение элемента случайности в расшифровщике. Место их вставки имеетогромное влияние на размер кода. С мусором же появляются новые вариантыкомпоновки кода. Размер при каждом из них будет разным.Ассемблер дает безграничные возможности по вставке мусора, поэтому вставкимогут быть различными. Вот некоторые их виды:1. Регистровые операции. Как правило, арифметические и логические. Примероммогут служить следующие команды: inc ax; mov ax,[si+bx-04]; add ax,1234h идр.2. Зеркальные команды. Такие, как add/sub, inc/dec и прочие.3. Ложные переходы, а также вызов подпрограмм, содержащих мусор (jmp $+10h;call XXXXh).4. Простой мусор из одиночных операндов (daa; nop; cld и т.д.).Выделяют несколько уровней полиморфизма, используемых в вирусе. Каждый изних по-разному реализует неодинаковый размер файлов, которые были заражены.Уровень 1. Самые простые олигоморфные вирусы. Они используют постоянныезначения для своих расшифровщиков, поэтому легко определяются антивирусами.Из за этого такие вирусы прозвали "не очень полиморфными". Примеры такихвирусов: Cheeba, December_3, Slovakia, V-Sign, Whale.Уровень 2. Вирусы, имеющие одну или две постоянные инструкции, которыеиспользуются в расшифровщике. Также определяются по сигнатуре, но имеютболее сложное строение, чем представители первого уровня. Примеры: ABC, DM,Flip, Jerusalem, Ontario, PC-Flu, Phoenix, Seat, Stasi, Suomi.Уровень 3. Вирусы, использующие в своем коде команды-мусор. Это, в своемроде, ловушка от детектирования, помогает запутать собственный код. Нотакой вирус может быть засечен с помощью предварительного отсеивания мусораантивирусом. Вирусы Tequila, StarShip, V2Px, DrWhite принадлежат к третьемууровню полиморфизма.Уровень 4. Использование взаимозаменяемых инструкций с перемешиванием вкоде, без дополнительного изменения алгоритма расшифровки, помогаетполностью запутать антивирус. При этом невозможно "поймать" вирус постандартной маске.
Давид Полиморфные вирусыБольшинство вопросов связано с термином <полиморфный вирус>. Этот вид компьютерных вирусов представляется на сегодняшний день наиболее опасным Объясним, что же это такое.Полиморфные вирусы - вирусы, модифицирующие свой код в зараженных программах таким образом, что два экземпляра одного и того же вируса могут не совладать ни в одном бите.Такие вирусы не только шифруют свой код, используя различные пути шифрования, но и содержат код генерации шифровщика и расшифровщика, что отличает их от обычных шифровальных вирусов, которые также могут шифровать участки своего кода, но имеют при этом постоянный код шифровальщика и расшифровщика.Полиморфные вирусы - это вирусы с самомодифицпрующимися расшифровщиками. Цель такого шифрования имея зараженный и оригинальный файлы, вы все равно не сможете проанализировать его кид с помощью обычного дизассемблирования. Этот код зашифрован и представляет собой бессмысленный набор команд. Расшифровка пронз . водится самим вирусом уже нспосродственно во время вы поднения. При этом возможны варианты: он может расшифровать себя всего сразу, а может выполнить такую расшифровку <по ходу дела> .может вновь шифровать уже отработавшие участки. Вес это делается ради затруднения анализа кода вируса.
Аристарх меняют свой дамп или действие или то и другое относяться к разряду стелсаназначение, чтобы авир не увидал. но это было раньше.троян эффективнее
Другие вопросы-ответы:
Рецепты красоты и молодости: славянские волосы. Как волосы сделать идеальными? : Ремонт и отделка - Качественно: ремонт квартир. Рисунки на стенах в помещениях.
