Makro viruslar, qrafika və mətn emal sistemlərinə quraşdırılmış mikrodillərdə yazılmış potensial olaraq arzuolunmaz proqramlardır. Makro viruslar hansı faylları yoluxdurur? Cavab bəllidir. Microsoft Excel, Word və Office 97 üçün ən çox yayılmış versiyalar. Bu viruslara tez-tez rast gəlinir və onları yaratmaq armudu atəşə tutmaq qədər asandır. Buna görə də İnternetdən sənədləri yükləyərkən son dərəcə diqqətli və diqqətli olmalısınız. Əksər istifadəçilər onları qiymətləndirmir və bununla da ciddi səhv edirlər.
PC necə yoluxur?
Makro virusların nə olduğuna qərar verdikdən sonra onların sistemə necə nüfuz etdiyini və kompüteri yoluxdurduğunu anlayaq. Onların çoxaldılmasının sadə üsulu ən qısa müddətdə maksimum sayda obyekti vurmağa imkan verir. Makro dillərin imkanları sayəsində yoluxmuş sənədi bağlayarkən və ya açarkən onlar daxil olan proqramlara nüfuz edirlər.
Yəni qrafik redaktordan istifadə edərkən makro viruslar onunla əlaqəli hər şeyi yoluxdurur. Üstəlik, bəziləri mətn və ya qrafik redaktor işləyərkən və ya hətta kompüter tamamilə söndürülənə qədər hər zaman aktivdir.
Onların iş prinsipi nədir?
Onlar aşağıdakı prinsip üzrə fəaliyyət göstərirlər: sənədlərlə işləyərkən Microsoft Word makro dildə verilən müxtəlif əmrləri yerinə yetirir. Əvvəla, proqram bu formatın bütün fayllarının açıldığı əsas şablona nüfuz edir. Bu halda virus öz kodunu əsas parametrlərə çıxışı təmin edən makrolara köçürür. Proqramdan çıxdıqda fayl avtomatik olaraq nöqtə şəklində saxlanılır (yeni sənədlər yaratmaq üçün istifadə olunur). Bundan sonra standart makrolara daxil olur, digər fayllara göndərilən əmrləri tutmağa çalışır, onları da yoluxdurur.
İnfeksiya aşağıdakı hallarda baş verir:
- Virusda avtomatik makro varsa (proqram söndürüldükdə və ya işə salındıqda avtomatik olaraq həyata keçirilir).
- Virus əsas sistem makrosuna malikdir (çox vaxt menyu elementləri ilə əlaqələndirilir).
- Xüsusi düymələrə və ya birləşmələrə basdığınız zaman avtomatik olaraq aktivləşir.
- Yalnız işə salındıqda çoxalır.
Belə viruslar adətən makro dildə yaradılmış və proqramlarla əlaqəli bütün faylları yoluxdurur.
Onların nə zərəri var?
Makro virusları qiymətləndirməmək olmaz, çünki onlar tam hüquqlu viruslardır və kompüterlərə ciddi ziyan vururlar. Onlar digər şeylərlə yanaşı şəxsi məlumatları ehtiva edən istənilən obyekti asanlıqla silə, köçürə və ya redaktə edə bilərlər. Bundan əlavə, onlar e-poçtdan istifadə edərək məlumatları digər insanlara ötürə bilərlər.
Daha güclü yardım proqramları ümumiyyətlə sabit diskləri formatlaya və bütün kompüterin işinə nəzarət edə bilər. Məhz buna görə də bu tip kompüter viruslarının yalnız qrafika və mətn redaktorları üçün təhlükə törətməsi barədə fikir yanlışdır. Axı, Word və Excel kimi kommunal proqramlar bir sıra digərləri ilə birlikdə işləyir, bu halda da risk altındadır.
Yoluxmuş faylın tanınması
Çox vaxt makro viruslarla yoluxmuş və onların təsirinə həssas olan faylları müəyyən etmək heç də çətin deyil. Axı, onlar eyni formatlı digər yardım proqramlarından tamamilə fərqli fəaliyyət göstərirlər.
Təhlükə aşağıdakı əlamətlərlə müəyyən edilə bilər:
Bundan əlavə, təhlükə çox vaxt vizual olaraq asanlıqla aşkar edilir. Onların tərtibatçıları adətən "Xülasə" sekmesinde yardım proqramının adı, kateqoriya, şərh mövzusu və müəllifin adı kimi məlumatları göstərirlər, bunun sayəsində makro virusdan daha sürətli və asan qurtula bilərsiniz. Kontekst menyusundan istifadə edərək ona zəng edə bilərsiniz.
Silinmə üsulları
Şübhəli fayl və ya sənəd tapdığınız zaman əvvəlcə onu antivirusla skan edin. Təhlükə aşkar edilərsə, antiviruslar onu müalicə etməyə çalışacaq və uğursuz olarsa, ona girişi tamamilə bloklayacaqlar.
Bütün kompüter yoluxmuşdursa, ən son verilənlər bazası olan antivirus ehtiva edən təcili yükləmə diskindən istifadə etməlisiniz. O, sabit diskinizi skan edəcək və tapdığı bütün təhlükələri zərərsizləşdirəcək.
Özünüzü bu şəkildə qoruya bilmirsinizsə, antivirusunuz heç bir şey edə bilməz və xilasetmə diski yoxdursa, "əllə" müalicə üsulunu sınamalısınız:
Beləliklə, siz makro virusu yoluxmuş sənəddən siləcəksiniz, lakin bu heç bir şəkildə onun sistemdə qalmaması demək deyil. Buna görə də ilk fürsətdə bütün fərdi kompüteri və onun bütün məlumatlarını antivirus və ya (onların üstünlüyü quraşdırma tələb etməməsidir) ilə skan etmək tövsiyə olunur.
Kompüterin makro viruslarla infeksiyadan müalicəsi və təmizlənməsi prosesi olduqca mürəkkəbdir, buna görə də ilkin mərhələdə infeksiyanın qarşısını almaq daha yaxşıdır.
Bu yolla siz özünüzü qoruyacaqsınız və makro viruslar heç vaxt müvafiq fayllara nüfuz etməyəcək.
Video sistemi viruslardan təmizləmək
Bu məqalə haqqında danışılır viruslar, yoluxdurur EXE faylları. Belələrin təsnifatı viruslar, onların işinin alqoritmləri, aralarındakı fərqlər, üstünlükləri və mənfi cəhətləri ətraflı müzakirə olunur.
Viruslar- bu, ağıl üçün yaxşı gimnastikadır, baxmayaraq ki, bir çox insan nə yazacağını düşünür virus yüksək səviyyəli dildə olduqca çətindir. Bu tamamilə doğru deyil. Paskalda yazmaq olduqca asandır, lakin nəticədə ortaya çıxan kodun ölçüsü heyranedicidir.
Hər növ üçün viruslar təfərrüatlı şərhləri olan mənbə mətnləri də təqdim olunur, struktur və fəaliyyət prinsipləri haqqında əsas məlumatlar verilir EXE proqramları.
COM faylları(əsasən Assembler dilində yazılmış kiçik proqramlar) yavaş-yavaş, lakin şübhəsiz ki, köhnəlir. Onları ölçülərinə görə qorxulu olanlar əvəz edir. EXE-"canavarlar". Yoluxdura bilən viruslar da peyda olub EXE faylları.
EXE proqramının yüklənməsinin strukturu və prosesi
Fərqli COM proqramları,EXE proqramları bir neçə seqmentdən (kod, verilənlər, stek) ibarət ola bilər. Onlar 64 KB-dan çox yer tuta bilər. EXE faylı yüklənərkən istifadə olunan başlığa malikdir. Başlıq yükləmə üçün lazım olan imza və məlumatları ehtiva edən formatlanmış hissədən ibarətdir EXE faylı, və ünvanların qurulması üçün cədvəllər ( Köçürmə Cədvəli). Cədvəl format seqmentindəki dəyərlərdən ibarətdir:ofset. Proqramı yaddaşa yüklədikdən sonra proqramın yükləndiyi seqment ünvanı cədvəldəki dəyərlərlə göstərilən yükləmə modulunda ofsetlərə əlavə edilməlidir.
Başlanğıcda EXE proqramları Sistem yükləyicisi (DOS 4Bh funksiyasını çağırır) aşağıdakı hərəkətləri yerinə yetirir:
1. Boş yaddaş sahəsinin seqment ünvanını, ölçüsünü təyin edin
proqrama ev sahibliyi etmək üçün kifayətdir.
2.Mühit dəyişənləri üçün yaddaş bloku yaradılır və doldurulur.
3. PSP və proqram üçün yaddaş bloku yaradılır (SEqment YOOOO - PSP;
seqment + OOOYOOOOOOO - proqram).
Müvafiq dəyərlər PSP sahələrinə daxil edilir.
4. DTA ünvanı PSP:0080h olaraq təyin edilib.
5. Formatlanmış hissə yükləyicinin iş sahəsinə oxunur
başlıq EXE faylı.
6.Yükləmə modulunun uzunluğu düsturla hesablanır:
Si7.e=((PageCnt*5i2)-(HdrSae*i6))-Pa!tP3ig.
7.Fayldakı yük modulunun ofseti müəyyən edilir, bərabərdir
8. Yükləmə üçün seqment ünvanı (START_SEG) hesablanır - adətən bu PSP+lOh olur.
9.Yükləmə modulu yaddaşa oxunur (ünvandan başlayaraq
START_SEG:0000).
10. Hər quraşdırma cədvəlinin daxil edilməsi üçün:
a) I_OFF və I_SEG sözləri oxunur;
b)RELC^SEG-START^SEG+LSEG hesablanır;
c) RELO_SEG:I_OFF ünvanında sözü oxuyun;
d) START_SEG oxunan sözə əlavə edilir;
e) nəticə eyni ünvanda saxlanılır (RELO_SEG:I_OFF).
11. Proqram üçün yaddaş MaxMet-ə uyğun olaraq ayrılır
12.Registrlər işə salınır, proqram yerinə yetirilir:
b) AX = komanda sətirində göstərilən sürücü identifikatorlarının düzgünlüyünün yoxlanılmasının nəticəsi;
c)SS°START_SEG+ReloSS, SP-ExeSP;
d)CS=START_SEG+ReloCS, IP=ExeIP.
EXE viruslarının təsnifatı
EXE virusları alqoritmin xüsusiyyətlərindən istifadə etməklə şərti olaraq qruplara bölmək olar. ViruslarÜzərinə yaz) Bu cür viruslar artıq nadirə çevrilib. Onların əsas çatışmazlığı çox kobud olmasıdır. Yoluxmuş proqramlar icra olunmur, çünki virus saxlamadan proqram kodunun üzərinə yazılır. Başlanğıcda virus növbəti qurbanı (və ya qurbanları) axtarır, tapılan faylı redaktə etmək üçün açır və orijinal kodu saxlamadan onun gövdəsini proqramın əvvəlinə yazır. Bunlardan yoluxmuş viruslar proqramlar müalicəyə məruz qalmır.
Yoldaş viruslar
Bunlar viruslar reproduksiya alqoritminə görə adlarını aldılar:
Hər yoluxmuş fayl üçün peyk faylı yaradılır. Bu qrupdakı iki növ virusa daha yaxından nəzər salaq:
Viruslar birinci növ aşağıdakı kimi çoxalır. Hər bir yoluxmuş şəxs üçün EXE faylı ilə eyni ada malik eyni kataloqda virus kodu olan fayl yaradılır EXE faylı, lakin uzadılması ilə COM. Virus proqramı işə salarkən əmr satırında yalnız icra olunan faylın adı göstərildiyi təqdirdə aktivləşdirilir. Məsələ ondadır ki, əgər fayl uzantısı göstərilməyibsə, DOSəvvəlcə cari qovluqda adı və uzantısı olan faylı axtarır COM. Əgər COM faylı bu adla tapılmadı, eyni adın axtarışı davam edir EXE faylı. Tapılmadıqda və EXE faylı, DOS aşkar etməyə çalışacaq ƏDV(toplu) fayl. Cari kataloqda göstərilən adı olan icra edilə bilən fayl yoxdursa, axtarış dəyişənin əlçatan olduğu bütün qovluqlarda aparılır. YOLU. Başqa sözlə, istifadəçi proqramı işə salmaq istədikdə və əmr satırında yalnız onun adını yazdıqda (əsasən hamı bunu edir), birincisi nəzarəti alır virus, kodu olan COM faylı. O yaradır COM faylı birinə və ya daha çoxuna EXE faylları(yayır) və sonra icra edir EXE faylı komanda xəttində göstərilən adla. İstifadəçi yalnız işə salınmışın işlədiyini düşünür EXE proqramı.
Peyk virusunu zərərsizləşdirin olduqca sadə - sadəcə çıxarın
COM faylı.
Viruslar ikinci növ daha incə işləyir. Yoluxmuş şəxsin adı
EXE faylı olduğu kimi qalır və genişləndirmə bəziləri ilə əvəz olunur
edam olunandan başqa ( COM, EXE və BAT), Misal üçün,
fayl uzantı qəbul edə bilər DAT(məlumat faylı) və ya OVL(pro-
qram örtüyü). Sonra yerinə EXE faylı köçürdü viral kod. Belə bir yoluxmuş proqram işə salındıqda, nəzarət tərəfindən əldə edilir viral kodda yerləşir EXE faylı. Bir və ya daha çox yoluxdurmaqla EXE faylları eyni yolla virus orijinal faylın icra edilə bilən genişləndirilməsini qaytarır (lakin E HE və COM, Çünki EXE faylı bu adla bir virus tərəfindən işğal edilir), bundan sonra onu icra edir. Yoluxmuş proqramın işləməsi başa çatdıqda, onun icra olunan faylı icra olunmayan genişlənməyə qaytarılır. Faylın dezinfeksiyası Bu tip viruslara yoluxma halında çətin ola bilər virus-Sputnik yoluxmuş faylın bir hissəsini və ya bütün gövdəsini şifrələyir və icradan əvvəl onun şifrəsini açır.
Viruslar, proqrama daxil edilmişdir (Parazit) Viruslar bu tip ən gözə çarpan deyil: onların kodu yoluxmuş proqrama yazılır, bu vacibdir müalicəni çətinləşdirir yoluxmuş fayllar. İcra üsullarını nəzərdən keçirək EXE faylında EXE virusları.
EXE fayllarını yoluxdurmaq yolları
Ən çox yayılmış infeksiya üsulu EXE faylları bu kimi: gövdə faylın sonuna əlavə olunur virus, və başlıq tənzimlənir (orijinalını qoruyarkən) belə ki, yoluxmuş fayl işə salındıqda nəzarət qəbul edilir. virus. İnfeksiyaya bənzəyir COM faylları, lakin kodu virusun başlanğıcına getmək üçün təyin etmək əvəzinə, proqramın başlanğıc nöqtəsinin faktiki ünvanı düzəldilir. İşini bitirdikdən sonra virus saxlanmış başlıqdan proqramın başlanğıc ünvanını götürür, DS və ya ES registrinin dəyərini (virus başlayanda əldə edilir) öz seqment komponentinə əlavə edir və idarəetməni qəbul edilən ünvana ötürür.
Növbəti üsul - kod dəyişikliyi ilə faylın əvvəlində virusun yeridilməsi
proqramlar. İnfeksiya mexanizmi belədir: bədən yoluxmuş proqram yaddaşa oxunur, yerinə yazılır virus kodu, və ondan sonra - kod yoluxucu proqramlar s. Beləliklə, proqram kodu, olduğu kimi, faylda virus kodunun uzunluğuna görə "köçürülür". Beləliklə, metodun adı - "köndürmə üsulu". Yoluxmuş faylı işə salarkən virus bir və ya bir neçə faylı yoluxdurur. Bundan sonra o, proqram kodunu yaddaşa oxuyur və onu icra olunan fayl uzantılı diskdə xüsusi yaradılmış müvəqqəti fayla yazır ( COM və ya EXE) və sonra bu faylı icra edir. Proqramın işləməsi başa çatdıqda, müvəqqəti fayl silinir. Virus yaratarkən heç bir əlavə qorunma üsullarından istifadə edilməmişdirsə, yoluxmuş faylı müalicə etmək çox sadədir - sadəcə faylın əvvəlindəki virus kodunu silin və proqram yenidən işləyəcək. Bu metodun dezavantajı ondan ibarətdir ki, yoluxmuş proqramın bütün kodunu yaddaşa oxumaq lazımdır (və ölçüsü 1 MB-dan böyük olan nümunələr var).
Faylları yoluxdurmağın növbəti yolu - köçürmə metodu - görünür, bütün sadalananlardan ən qabaqcıldır. Virus aşağıdakı kimi çoxalır: yoluxmuş proqram işə salındıqda, bədən virus ondan yaddaşa oxuyun. Sonra yoluxmamış proqram üçün axtarış aparılır. Uzunluğu bədənə bərabər olan başlanğıcı yaddaşa oxunur virus. Cəsəd bu yerdə qeydə alınıb virus.Proqramın yaddaşdan başlanğıcı faylın sonuna əlavə olunur. Beləliklə, metodun adı - "köçürmə üsulu". sonra virus bir və ya bir neçə faylı yoluxdurduqda, işə saldığı proqramı icra etməyə başlayır. Bunun üçün o, faylın sonunda saxlanılan yoluxmuş proqramın başlanğıcını oxuyur və proqramın funksionallığını bərpa edərək faylın əvvəlinə yazır. Sonra virus başlanğıc kodunu faylın sonundan çıxarır, faylın orijinal uzunluğunu bərpa edir və proqramı icra edir. Proqram bitdikdən sonra virus yenidən öz kodunu faylın əvvəlinə, proqramın ilkin başlanğıcını isə sonuna qədər yazır. Hətta antiviruslar, işə salınandan bəri kodlarının bütövlüyünü yoxlayan virus proqram infeksiyadan əvvəl olduğu kimi eyni koda malikdir.
Viruslar, proqram kodunun dəyişdirilməsi ( Üzərinə yaz) Artıq qeyd edildiyi kimi, bu növ viruslar uzun müddətdir ki, ölüb. Bəzən belələri də olur viruslar dildə yaradılmışdır Montajçı, lakin ən kiçikini yazmaq üçün daha çox rəqabət var virusun üzərinə yazın. Hal-hazırda ən kiçik məlumdur virusların üzərinə yazın yazılıb Xatırlatma (Death Virii Crew qrupu) və 22 bayt tutur.
Üzərinə yazma virusunun necə işləməsi alqoritmi aşağıdakı kimidir:
1. Virusun nəzarəti qəbul etdiyi faylı açın.
3. Faylı bağlayın.
4. İnfeksiyaya uyğun faylı maska ilə axtarın.
5. Əlavə fayl tapılmadıqda, 11-ci addıma keçin.
6. Tapılmış faylı açın.
7. Tapılan faylın bu virusa yoluxduğunu yoxlayın.
8. Əgər fayl yoluxmuşdursa, 10-cu addıma keçin.
9. Virus kodunu faylın əvvəlinə yazın.
10. Faylı bağlayın (istəsəniz, birindən bütün fayllara yoluxa bilərsiniz)
kataloqda və ya diskdə balıq ovu).
11. Ekranda bəzi xəta mesajını göstərin, məsələn, “Proqramın qeyri-normal dayandırılması” və ya “Yaddaş kifayət deyil” - belə ki, istifadəçi proqramın başlamamasına çox təəccüblənməsin.
12. Proqramı bitirin.
Aşağıda faylları bu şəkildə yoluxduran proqramların siyahısı verilmişdir.
($M 2048, 0, 0)
(DOS və Sistem modullarından istifadə olunur (Sistem modulu tərtib edildikdə avtomatik olaraq hər proqrama daxil edilir))
(Virus adı)
VirName='Ağrı';
(Yenidən infeksiyanı yoxlamaq üçün xətt.
O, koddan dərhal sonra yoluxmuş fayla əlavə olunur virus}
VirLabel: String=’Ağrı!1;
(Nəticədə tərtibin uzunluğu EXE faylı}
Müəllif='Dirty Nazi/SGWW.';
(Bir seansda yoluxmuş faylların sayı)
(Bir nüsxənin olub olmadığını müəyyən etmək üçün massiv virus tapılmış faylda)
Virldentifikator: Array of Char;
(Fayllarla işləmək üçün fayl dəyişəni)
(Başqa bir fayl dəyişəni - onsuz da edilə bilsə də, daha aydın olacaq)
(Tapılan faylın adı üçün)
TargetFile:PathStr;
(Bədən tamponu virus)
VirBuf: Array [-I.VirLen] of Char;
(Fayl tarixi/saati üçün)
(Yoluxmuş faylların sayının sayğacı)
Dirlnfo:SearchRec;
LabelBuf: Char massivi;
(İnsiallaşdırma)
LabelBuf :=VirLabel;
LabelBuf:=VirLabel;
LabelBuf:=VirLabel,
LabelBuf:=VirLabel;
LabelBuf:=VirLabel;
(Kəmiyyət sayğacını sıfırlayın yoluxmuş fayllar}
(VirBody fayl dəyişənini başladığımız proqramın adı ilə əlaqələndiririk)
Assign(VirBody, ParamStr(O));
(recsize=1 bayt olan faylı açın)
Sıfırla (VirBody, 1);
(Biz fayldan cəsədi oxuyuruq virus VirBuf massivinə)
BlockRead (VirBody VirBuf, VirLen);
(Faylı bağlayın)
(Qurbanı axtarın)
FindTarget proseduru;
(Tapılan proqram artıq yoluxmuşdursa, funksiya True, hələ yoluxmadıqda isə False qaytarır)
VirusPresent funksiyası: Boolean;
VirusPresent:=Yanlış;
(Tapılmış faylı açın)
Təyin (Hədəf, Hədəf Fayl);
Sıfırla (Hədəf, 1);
(Biz bədən uzunluğuna keçirik virus faylın əvvəlindən)
Axtar (Hədəf, VirLen);
(5 bayt oxuyuruq - fayl artıq yoluxmuşdursa, etiket var virus}
BlockRead(Target, Virldentifier, 5);
Əgər Virlidentifier=Virl_abel O zaman
(Bir işarə varsa, deməli var virus}
VirusPresent:=Doğru;
(İnfeksiya proseduru)
InfectFile proseduru;
(Tapılan faylın ölçüsü virusun uzunluğundan və 100 baytdan azdırsa, prosedurdan çıxın)
Əgər Sr.Size< VirLen+100 Then Exit;
Tapılan proqram hələ də yoluxmayıbsa, biz onu yoluxdururuq)
Virus Mövcud deyilsə
(Faylın tarixini və vaxtını xatırlayaq. Axtarış Arxiv atributuna malik fayllar arasında aparıldığı üçün atributları yadda saxlamağa ehtiyac yoxdur və bu atribut istənilən halda saxlandıqdan sonra fayla yerləşdirilir)
(İnfeksiya üçün açıq)
Təyin (Hədəf, Hədəf Fayl);
Sıfırla (Hədəf, 1);
(Bədəni qeyd edir virus faylın əvvəlinə)
BlockWrite (Target, VirBuf, VirLen);
(Cari mövqe göstəricisini uzunluğa köçürün virus faylın əvvəlindən)
Axtar (Hədəf, VirLen);
(İnfeksiya etiketini daxil edin)
BlockWrite(Target, LabelBuf, 5);
(Faylın tarixini və vaxtını təyin edin)
SetFTtime(Hədəf, Vaxt);
(Bağlanır)
(Sayğacı artırın yoluxmuş fayllar}
(FindTarget prosedurunu başladın)
(Biz maskadan istifadə edərək cari qovluqdakı faylları axtarırıq * .EXE
atributları ilə Arxiv}
FindFirstF.EXE’, Arxiv, Sr);
(Yoluxacaq fayllar olduğu müddətcə)
DosError=0 Do
Əgər Sr.Name=”Onda Çıxın;
(TargetFile dəyişənində tapılan faylın adını xatırlayırıq)
TargetFile:=Sr.Name;
(İnfeksiya prosedurunu çağırın)
(InfCount faylları yoluxmuşdursa, axtarışı tamamlayın)
InfFiles > InfCount Əgər Çıxın;
(Növbəti faylı maska ilə axtarırıq)
(Əsas)
(Başlanılır)
(Qurbanları axtarırıq və onları yoluxdururuq)
(Ekranda səhv mesajı göstəririk)
WriteLn('Qeyri-normal proqramın dayandırılması.');
(Bu, kompilyatorun koda VirName və Müəllif sabitlərini daxil etməsi üçündür, lakin şərt elə qurulub ki, bu sətirlər heç vaxt ekranda görünməyəcək)
WriteLn(VirAdı);
WriteLn(Müəllif);
Yoldaş viruslar
Peyk virusları indi geniş yayılmışdır - parazit nisbətinə yoldaş viruslar yaradılması üsulu ilə təxminən ikidə bir COM faylı peyk Bu metodun mənası “yadplanetli pişiyə” toxunmamaqdır ( EXE proqramı), "özünüzü" yaradın - COM faylı Adı ilə EXE proqramları. Bunun üçün alqoritm virus son dərəcə sadədir, çünki lazımsız hərəkətlərə ehtiyac yoxdur (məsələn, tərtib edilmiş materialın uzunluğunu saxlamaq) EXE faylı ilə virus kodu, bədən tamponuna oxumaq virus, olan faylı işə salın virus nəzarət aldı). Faylın yoluxduğunu müəyyən etmək üçün etiketi saxlamağa belə ehtiyac yoxdur.
İnfeksiya əmr prosessorundan istifadə etməklə həyata keçirilir:
1.Əgər parametrlər komanda sətirində göstərilibsə, onları yoluxmuş proqrama köçürmək üçün String dəyişənində saxlayın.
2. Tapın EXE faylı- qurban.
3. Tapılanın kataloqda olub olmadığını yoxlayın EXE faylı COM faylı qurban faylı ilə eyni adla.
4. Əgər belədirsə COM faylı mövcuddur, fayl artıq yoluxmuşdur, gedin
6-cı nöqtəyə.
5. Komanda prosessorundan istifadə edərək, hansı faylı kopyalayın
nəzarət qurbanın adı və uzantısı olan fayla daxil edilir COM.
6.Prosedur Keçmişlər başlanğıc faylının adı olan, lakin uzantısı olan faylı yükləyin və icra edin EXE- yəni yoluxmuş proqramı icra etmək.
7. Nəzarəti DOS-a qaytarın.
Aşağıdakı siyahı bununla yoluxmuş faylları göstərir
($M 2048, 0, 0)
(DOS və Sistem modulları istifadə olunur (Sistem modulu avtomatik olaraq
kompilyasiya zamanı hər proqrama qoşulur))
(Virus adı)
VirName='Guesf;
Müəllif='Çirkli Nazi/SGWW. Yalnız 4 PVT!’;
(Kəmiyyət yoluxmuş iş fayllarının bir seansı üçün)
(Tapılan faylın adı üçün)
TargetFile:PathStr;
EXE fayllarına yoluxma üsulları
EXE fayllarını yoluxdurmağın ən çox yayılmış yolu belədir: virusun gövdəsi faylın sonuna əlavə olunur və başlıq (orijinalı qoruyarkən) belə düzəliş edilir ki, yoluxmuş fayl işə salındıqda virus nəzarəti ələ keçirsin. COM fayllarının infeksiyası kimi görünür, lakin kodu virusun başlanğıcına getmək üçün təyin etmək əvəzinə, proqramın başlama nöqtəsinin faktiki ünvanı düzəldilir. İşini bitirdikdən sonra virus saxlanmış başlıqdan proqramın ilkin işə salınma ünvanını götürür, DS və ya ES registrinin dəyərini (virus başlayanda əldə edilir) öz seqment komponentinə əlavə edir və idarəetməni qəbul edilən ünvana ötürür.
Növbəti üsul, proqram kodunun dəyişdirilməsi ilə faylın əvvəlinə virus yeritməkdir. Yoluxma mexanizmi belədir: yoluxmuş proqramın gövdəsi yaddaşa oxunur, onun yerinə virus kodu, ondan sonra isə yoluxmuş proqramın kodu yazılır. Beləliklə, proqram kodu, olduğu kimi, faylda virus kodunun uzunluğuna görə "köçürülür". Beləliklə, metodun adı - "sürüşmə üsulu". Yoluxmuş fayl icra edildikdə, virus bir və ya bir neçə digər faylı yoluxdurur. Bundan sonra o, proqram kodunu yaddaşa oxuyur, onu icra edilə bilən fayl uzantısı (COM və ya EXE) ilə diskdə xüsusi yaradılmış müvəqqəti fayla yazır və sonra bu faylı icra edir. Proqramın işləməsi başa çatdıqda, müvəqqəti fayl silinir. Virus yaradarkən heç bir əlavə qorunma üsullarından istifadə edilməmişdirsə, yoluxmuş faylı müalicə etmək çox sadədir - sadəcə faylın əvvəlindəki virus kodunu silin və proqram yenidən işləyəcək. Bu metodun dezavantajı ondan ibarətdir ki, yoluxmuş proqramın bütün kodunu yaddaşa oxumaq lazımdır (və ölçüsü 1 MB-dan böyük olan nümunələr var).
Faylları yoluxdurmağın növbəti üsulu, ötürmə üsulu, görünür, sadalananların hamısından ən qabaqcıldır. Virus aşağıdakı şəkildə çoxalır: yoluxmuş proqram işə salındıqda virusun bədəni ondan yaddaşa oxunur. Sonra yoluxmamış proqram üçün axtarış aparılır. Uzunluğu virusun bədəninə bərabər olan başlanğıcı yaddaşa oxunur. Bu yerdə virusun cəsədi qeydə alınır. Proqramın yaddaşdan başlanğıcı faylın sonuna əlavə olunur. Beləliklə, metodun adı - "köçürmə üsulu". Virus bir və ya bir neçə faylı yoluxdurduqdan sonra işə saldığı proqramı icra etməyə başlayır. Bunun üçün o, faylın sonunda saxlanılan yoluxmuş proqramın başlanğıcını oxuyur və proqramın funksionallığını bərpa edərək faylın əvvəlinə yazır. Daha sonra virus faylın sonundan başlanğıc kodunu çıxarır, faylın orijinal uzunluğunu bərpa edir və proqramı icra edir. Proqram bitdikdən sonra virus yenidən öz kodunu faylın əvvəlinə, proqramın ilkin başlanğıcını isə sonuna qədər yazır. Hətta kodunun bütövlüyünü yoxlayan antiviruslar da bu üsulla yoluxa bilər, çünki virusun işə saldığı proqram infeksiyadan əvvəlki kimi eyni koda malikdir.
Kompüterinizi qorumaq kitabından müəllif Yaremchuk Sergey Akimoviçİnfeksiya əlamətləri Bütün Spyware və Adware proqramları (nadir istisnalarla) kompüterə və istifadəçiyə aşkar zərər vurmur. Belə bir proqram kompüterdə uzun müddət işləyə bilər və istifadəçi heç bir şeydən şübhələnməyəcəkdir. TO
Kompüter Elmləri və İnformasiya Texnologiyaları: Mühazirə qeydləri kitabından müəllif Tsvetkova A V8.2. Spamla mübarizə yolları 1990-cı illərin sonu - 2000-ci illərin əvvəllərinə aid jurnal fayllarına nəzər salsanız, spamla mübarizəni təsvir edən məqalələrin olmadığını görərsiniz. Spam fəaliyyətinin zirvəsi 2002-2003-cü illərdə baş verib. Eyni zamanda sistemlərin aktiv inkişafı başladı
Kompüter Elmləri və İnformasiya Texnologiyaları kitabından müəllif Tsvetkova A V3. Ünvanlaşdırma üsulları Yaddaşdakı operandların əsas növlərinin xüsusiyyətlərini sadalayaq və sonra nəzərdən keçirək: 1) birbaşa ünvanlama (registr) 3) ofsetlə dolayı əsas (registr) ünvanlama; ilə müraciət edir
Kitabdan Kompüterinizi viruslardan və hakerlərdən 100% qoruyun müəllif Boytsev Oleq Mixayloviç52. Ünvanlaşdırma üsulları Birbaşa ünvanlama Bu operandın yaddaşda ünvanlanmasının ən sadə növüdür, çünki effektiv ünvan təlimatın özündə olur və onun formalaşdırılması üçün heç bir əlavə mənbələr və registrlərdən istifadə olunmur. Effektiv ünvan götürülür
Kitabdan internet üçün 200 ən yaxşı proqram. Populyar dərslik müəllif Krainsky IAktiv infeksiyaların müalicəsi üçün test Testə Avast!, AVG, AVZ, Avira, BitDefender, Eset, F-Secure, McAfee, Panda Software, Sophos, Symantec, Trend Micro, VirusBlokAda, "Doctor Web" daxil olmaqla 15 istehsalçının antivirus məhsulları cəlb edilib. , Kaspersky Lab. Test aşağıdakılar üzərində aparılıb
İnternet kitabından. Yeni imkanlar. Hiylələr və effektlər müəllif Balovsyak Nadejda VasilievnaKöçürmə Metodları Videonu yayımlamanın iki yolu var - Progressive Streaming və Real-Time Streaming
Kitabdan İnternet - asan və sadə! müəllif Aleksandrov EqorYoluxma yolları Ən məşhur yoluxma üsulları aşağıdakılardır: – İnternet vasitəsilə, sözdə “könüllü” üsul: istifadəçi İnternetdən nə isə yüklədikdə. Çox vaxt əsl WIN95 zərərsiz bir brauzer sürətləndiricisi altında otura bilər. CIH (WIN95. CIH, və ya
İnternetdə sürətli pul kitabından müəllifAxtarış üsulları Kataloqlarda axtarış asan və intuitivdir. Onlarda lazımi məlumatları tapmaq üçün (əlbəttə ki, orada varsa) sadəcə sağlam düşüncəyə sahib olmaq lazımdır, məsələn, Trud qəzetinin veb saytını tapmaq lazımdır.
Onlayn mağazada satışın ikiqat artması kitabından müəllif Parabellum Andrey Alekseeviç Linux kitabından: Tam Bələdçi müəllif Kolisniçenko Denis NikolayeviçÖdəniş üsulları Gəlin hər hansı bir işdə ən xoş olan şeydən - maaşdan danışaq. Axı pul bu və ya digər şəkildə işinizin əsas məqsədidir. Ancaq təəssüf ki, onları əldə etmək sizinlə aranızdakı böyük məsafələr səbəbindən yaranan bəzi çətinliklərlə əlaqələndirilir.
Təqaüdə hazırlaşmaq: İnterneti mənimsəmək kitabından müəllif Axmetzyanova Valentina Aleksandrovnaİnfeksiya əlamətləri Gəlin kompüterinizin virusa yoluxma ehtimalını göstərən əsas əlamətlərə baxaq. Əlbəttə ki, onların əksəriyyəti kompüterinizin yoluxduğu barədə tam dəqiqliklə məlumat verə bilməz - bəzi əlamətlər bəzən tamamilə müşahidə olunur.
Müəllifin kitabındanViruslarla mübarizə yolları pisdir və şərlə mübarizə aparmaq lazımdır. Lakin, ilk növbədə, bir ümumi həqiqəti xatırlamağa dəyər - müharibənin qarşısını almaq istənilən qələbədən yaxşıdır. Bu səbəbdən, ilk növbədə, virusların kompüterinizə daxil olma riskini minimuma endirmək lazımdır, lakin yalnız
Müəllifin kitabından Müəllifin kitabındanÖdəniş üsulları Onlayn mağazada ödəniş üsullarına gəldikdə, müştərilərinizə sifarişlərini ödəmək üçün mümkün qədər çox variant təqdim etməlisiniz. Təcrübə göstərir ki, ödəniş variantlarının seçimi nə qədər çox olarsa, konversiya bir o qədər yüksək olar (şək. 15). Müştəri tapmadıqda
Müəllifin kitabından26.1. Qarşılıqlı təsir üsulları Proseslər də insanlar kimi bir-biri ilə “ünsiyyət qura”, yəni məlumat mübadiləsi apara bilər. 3-cü Fəsildə biz iki Proseslərarası Əlaqə (IPC) alətinə qısaca nəzər saldıq; yarım dupleks kanallar (boru kəmərləri) və siqnallar, lakin UNIX sistemlərində
Müəllifin kitabındanPul qazanmağın yolları Pensiyaçı üçün iş tapmaq o qədər də asan deyil və bəlkə də bunun yeganə səbəbi yaşdır. Amma virtual məkanda yaşın əhəmiyyəti yoxdur. Burada hamı bərabərdir: pionerlər və pensiyaçılar, sağlam və əlillər. Hamısı bacarıq və bacarıqdan asılıdır
Formal olaraq, kompüter virusu, digər proqramlara öz, ehtimal ki, dəyişdirilmiş, surətini daxil etməklə yoluxdura bilən bir proqramdır, sonuncu daha çoxalma qabiliyyətini saxlayır. İnfeksiyaya əlavə olaraq, virus, hər hansı digər proqram kimi, tamamilə zərərsizdən son dərəcə dağıdıcıya qədər digər icazəsiz hərəkətlər edə bilər. məsələn, yoluxmuş proqramı sabit diskdə qeyd etmək bu vəziyyətdə, bu şərtlərin birləşməsini müəyyən etmək çətinləşə bilər.
Proqramları yoluxdurmaqla viruslar bir proqramdan digərinə yayıla bilər ki, bu da onları kompüter vandalizminin digər üsullarından daha təhlükəli edir. Fərdi kompüter istifadəçiləri arasında disketlərdəki proqramların mübadiləsi və ötürülməsi praktikasının geniş yayılması səbəbindən yoluxmuş proqramların sayı əhəmiyyətli ola bilər və bir növ epidemiyaya səbəb ola bilər.
İNFEKSİYA PROSESİ
Sadələşdirilmiş şəkildə proqram fayllarının virusla yoluxdurulması prosesi aşağıdakı kimi təqdim oluna bilər ki, virus daşıyan proqram işə başlamazdan əvvəl yoluxmuş proqramın kodu adətən virus tərəfindən idarə olunur.
İdarəetmə virusa ötürüldükdə, o, bir şəkildə yeni bir proqram tapır və öz nüsxəsini əvvəlinə daxil edir və ya ümumiyyətlə hələ yoluxmamış bu proqramın sonuna əlavə edir. Proqramın sonuna bir virus əlavə olunarsa, o zaman ilk olaraq nəzarəti ələ keçirmək üçün proqram kodunu tənzimləyir virusun başlanğıcına daxil edilir. Bu üsul ən çox yayılmışdır. Nəzarət aldıqdan sonra virus "gizli" ilk baytları bərpa edir və bədənini emal etdikdən sonra idarəetməni normal olaraq funksiyalarını yerinə yetirən virus daşıyıcı proqramına ötürür. Elə hallar ola bilər ki, virus özünü proqramın ortasında, məsələn, yığın sahəsinə daxil edir. Sonuncu hallar nadirdir.
KOMPYUTER VİRUSUNUN STRUKTURU
MS DOS-da kompüter viruslarının ən çox yayılmış növləri qeyri-rezident fayl virusları, fayl rezidenti və yüklənmə viruslarıdır. sistem proqramları.
Struktur olaraq, bir kompüter virusu iki hissədən ibarət olaraq təmsil oluna bilər: baş və quyruq Virusun ilk olaraq nəzarəti qəbul edən hissəsidir. Ən sadə halda, virus bir başdan ibarət ola bilər və həqiqətən də fayl Yeni viruslar adətən bu şəkildə hazırlanır. Biz belə virusları seqmentsiz adlandıracağıq. Bunun əksinə olaraq, seqmentləşdirilmiş viruslar ayrıca quyruğa malikdir və müəyyən dərəcədə üst-üstə düşən proqramlara bənzəyir. Seqmentləşdirilmiş viruslara misal olaraq yükləmə viruslarıdır, baxmayaraq ki, seqmentləşdirilmiş fayl viruslarının həyata keçirilməsi mümkündür.
ƏLAQƏSİ OLMAYAN FAYL VİRUSUNUN STRUKTURU
Fayl virusları kompüter viruslarının ən çox yayılmış növüdür. Əsasən, onlar MS DOS-da mövcud olan istənilən növ icra edilə bilən faylları yoluxdururlar: com, exe, ovl və s. Bununla belə, infeksiyanın əsas hədəfləri COM və EXE fayllarıdır. COM fayllarını yoluxdurmağın ən asan yolu, yüklənmiş proqramdan yaddaş parçasının demək olar ki, dəqiq surəti olmasıdır. COM fayllarını yükləyərkən tələb olunan yeganə konfiqurasiya proqramın yükləndiyi yerə uyğun gələn dəyərlərlə seqment qeydlərini yükləməkdir. com fayllarının əhəmiyyətli bir hissəsi proqramların əvvəlində olan məlumatları aşan bir keçid əmri ilə başlayır.
com fayllarını yoluxdurarkən, virus öz bədənində proqramın ilk üç (və ya daha çox) baytını xatırlayır və bunun əvəzinə öz kodunun başlanğıcına keçid yazır, lakin com fayllarını yoluxduran əksər fayl virusları bunu edir . Fakt budur ki, virusun gövdəsini yoluxmuş faylın sonuna əlavə edərkən, bütün virus kodu xüsusi bir şəkildə yazılmalıdır, adətən mövqedən asılı olmayan proqramlaşdırma adlanır: proqramı icra edərkən bütün istinadlar ofsetlər vasitəsilə ünvanlanmalıdır. , adətən registrlərdən birində saxlanılır.
Bəzi viruslar daha primitiv yanaşmadan istifadə edirlər: yüklənmiş com faylının sonuna öz gövdəsini əlavə etmək əvəzinə proqramın ilk bir neçə blokunu ora köçürür və boşaldılmış blokların yerinə özlərini yazır. Bu halda, yalnız proqramın ilkin vəziyyətini bərpa etmək üçün proqram mövqedən müstəqil olmalıdır və ya onun bəzi istifadə olunmamış hissəsindən istifadə edərək sabit yaddaş ünvanlarında yerləşməlidir.
İnfeksiya zamanı virusun cəsədi təkcə faylın quyruğuna daxil edilə bilməz. Faylın əvvəlində və ya ortasında implantasiya halları var.
Faylın əvvəlinə daxil edin. Bu halda, yoluxmuş proqramın ilk blokları (və ya bütün bədəni) adətən sona qədər yenidən yazılır, buna görə də idarəetməni yoluxmuş proqrama ötürməzdən əvvəl virus əvvəlcə öz kodunu əvəz edərək bu blokları orijinal yerində yenidən yazmalıdır. Bu məqsədlə virus öz bədənini və ya heç olmasa kodunuzun müvafiq hissəsini elə hərəkət etməlidir ki, yenidən yazma əməliyyatı zamanı onun üzərinə yazılmasın. Yoluxmuş faylın əvvəlində yazan bəzi primitiv viruslar onun məzmununu saxlamır. Bu halda, təbii olaraq, yoluxmuş fayl məhv edilir və virus çağırılan proqramın işləməməsi faktını bir şəkildə gizlətməlidir. Bəzən bu məqsədlə uyğun bir səhv mesajı istifadə olunur.
Faylın sonuna daxil edin. Bu ən ümumi problemdir. Bu halda, yoluxmuş proqram işə başlamazdan əvvəl nəzarətin virus koduna ötürülməsini təmin etmək lazımdır. com tipli fayllar üçün bu, ən çox proqramın ilk bir neçə baytını əvəz etməklə əldə edilir (adətən hər keçid təlimatı üçün üç). Eyni zamanda, dəyişdirilən baytların özləri quru olmalıdır - virusun bədənində bir yerdə zədələnmişdir, bu da onları bərpa etməyə imkan verir. Virus quraşdırıcısı nəzarəti ələ keçirdikdə, adətən işinin əvvəlində virus tərəfindən dəyişdirilmiş baytları orijinal formasına qaytarır.
Faylın ortasına daxil edilir. Bu yoluxma üsulu nadirdir. Birincisi, bu üsul, struktur xüsusiyyətləri əvvəlcədən məlum olan, məsələn, yalnız command.com faylı olan xüsusi bir proqram sinfini yoluxduran viruslar tərəfindən istifadə olunur və bu, ən çox yayılmış haldır, ortada Əvəz edilmiş blokları faylın sonuna atmaqla mümkündür, xüsusən də yoluxmuş faylda sıfırlar sahəsi və ya kifayət qədər ölçülü digər təkrar baytlar varsa, proqramın uzunluğunu artırmadan ortaya daxil edilir. , bu da yoluxmuş faylları aşkar etməyi çətinləşdirir. Ortaya yerləşdirmə də təsadüfən baş verə bilər. Məsələn, bu, exe faylının sonuna yapışan adi viruslar üçün baş verir, əgər onun uzunluğu başlıqda səhv göstərilibsə, yəni. bufer və ya gizli örtük kimi istifadə edilən hissə. Bu halda virus faylın başlıqda göstərilən uzunluğa malik olduğuna inanır və kodunu bufer və ya üst-üstə düşmə sahəsinə yazır. Bu halda, o, əslində bu proqram tərəfindən işğal edilmiş faylın ortasında bitir və nəhayət, faylı eyni şəkildə yoluxduran bir neçə virus yoluxdura bilər (adətən kodunu faylın sonuna əlavə edir). . Bu halda, bu faylı ilk dəfə yoluxduran virus sonrakı viruslar tərəfindən faylın ortasına itələnir. Nisbətən nadir olduğundan, bu hallar çox vaxt antivirus proqramlarının yaradıcıları, xüsusən də proqramlarının icra müddətini optimallaşdıraraq yerlə bağlı "çox güclü" fərziyyələr irəli sürən detektorlar və faqlar tərəfindən nəzərə alınmır. yoluxmuş proqramın bədənindəki virus kodunun. Nəticədə, fayl yoluxmuş kimi aşkar edilə bilməz və ya düzgün dezinfeksiya olunmaya bilər. Artıq qeyd edildiyi kimi, faylın sonuna və ya ortasına daxil edildikdə, virus bir şəkildə nəzarətin özünə ötürülməsini təmin etməlidir. Bu halda proqramın ilk baytlarını dəqiq dəyişmək lazım deyil. Digər baytları dəyişdirmək mümkündür. Məsələn, proqram qeyd-şərtsiz keçid təlimatı ilə başlayırsa, virus keçid ünvanını təyin edə və bu ünvanda yerləşən təlimatları dəyişdirə bilər. Buna görə də, yoluxmuş faylda virusu zərərsizləşdirmək üçün onun ilk baytlarını bərpa etmək kifayətdir ki, tez-tez səslənən fikirlər yanlış hesab edilməlidir.
FAYL REZİDENT VİRUSUNUN STRUKTURU
Fayl rezident virusları fərdi fayllarla yanaşı, belə desək, kompüterin yaddaşına da sirayət edir. Mümkün qədər sadələşdirmək üçün kompüterin yaddaşını "başa" əlavə etməklə yoluxdurula bilən başqa bir fayl hesab etmək olar, yəni. boş yaddaş sahəsinin aşağı ünvanları sahəsinə, "quyruğuna", yəni. boş yaddaş sahəsinin ən yüksək ünvanları sahəsinə və nəhayət, "ortaya", yəni. əməliyyat sistemi və ya bəzi proqramlar tərəfindən artıq istifadə edilən ünvanlar sahəsinə.
Eyni zamanda, rezident virusun strukturu qeyri-rezident virusun strukturundan əhəmiyyətli dərəcədə fərqlənir. Sonuncu, öz növbəsində, bir sıra emal proqramlarından ibarətdir. Bir qədər sadələşdirsək, hər bir müdaxilənin öz emal proqramı olduğunu güman edə bilərik.
Quraşdırıcı yoluxmuş proqramı icra edərkən nəzarəti əldə edir və virusu orbitə çıxaran bir növ buraxılış vasitəsi rolunu oynayır, yəni. RAM-a bir dəfə - yoluxmuş proqramı işə saldıqdan sonra işləyir və onu RAM-a yoluxmuş xüsusi fayl virusu kimi qəbul etmək məsləhətdir.
Varsayılan olaraq, Avtomatik Qoruma həmişə kompüterinizdə işləyir. İdarə olunmayan müştəriləri olan kompüterlərdə sistem işə salındıqda avtomatik yaradılan aktiv skan işləyir. İdarə olunan müştəriləri olan kompüterlərdə administrator adətən həftədə ən azı bir dəfə tam skan etmək üçün konfiqurasiya edir. Avtomatik Qoruma təhlükə aşkar edildikdə nəticələr pəncərəsini göstərir. Tarama prosesi zamanı ekranda onun nəticələri ilə bir pəncərə göstərilir. İdarə olunan müştərilərdə administrator bu növ bildirişləri söndürə bilər.
Yoluxmuş faylı necə emal etmək olar
Skan vəziyyəti haqqında məlumat dialoq qutusunda skan tamamlandıqdan sonra istədiyiniz faylları seçin.
Tarama nəticələri pəncərəsində tələb olunan faylları seçin.
Müştəri yan panelindən seçin Qeydləri göstərin və sonra klikləyin Qeydləri göstərin antivirus və anti-casus proqram funksiyasının yanında. Günlük pəncərəsində tələb olunan faylları seçin.
Aşağıdakı hərəkətlərdən birini yerinə yetirin:
Seçilmiş faylları sağ klikləyin və aşağıdakı seçimlərdən birini seçin. Nəzərə alın ki, müştəri həmişə seçilmiş əməliyyatı tamamlaya bilməyə bilər.
