Резидентные вирусы
Типичный резидентный вирус перехватывает один из векторов системного или обычного прерывания за счет копирования содержимого в рабочую переменную и помещения в вектор собственного адреса, направляя это прерывание на себя. Лучше всего перехватить системное прерывание. В таком случае вирус получает возможность запускаться в режиме ядра при каждом системном вызове. Когда он завершает свою работу, он просто осуществляет настоящий системный вызов, передавая управление по сохраненному адресу системного прерывания.
А зачем вирусу запускаться при каждом системном вызове? Естественно, для того, чтобы заражать программы. Вирус может просто выжидать, пока не поступит системный вызов exec, а затем, зная, что файл, имеющийся у него в распоряжении, является исполняемым двоичным (и, наверное, вполне для этого подходящим) файлом, заражает его. Для этого процесса не требуется такой большой активности диска, как при использовании кода, представленного в листинге 9.2, поэтому он меньше бросается в глаза. Перехват всех системных прерываний также дает вирусу огромные возможности для шпионского сбора информации и нанесения различного вреда.
Еще по теме Резидентные вирусы:
- ВИРУС
- ИЗЛЕЧЕНИЕ ОТ «ВИРУСА ОБИДЫ»
- Вирусы бедности и нищеты и их причины
- Статья 130. Заражение вирусом иммунодефицита человека либо иной неизлечимой инфекционной болезни
- Статья 132. Разглашение сведений о проведении медицинского обследования на выявление заражения вирусом иммунодефицита человека либо иной неизлечимой инфекционной болезни
- Статья 131. Ненадлежащее исполнение профессиональных обязанностей, повлекшее заражение лица вирусом иммунодефицита человека либо иной неизлечимой инфекционной болезни
- 15.4. ЭПИДЕМИЯ ИДЕЙ
- “Вакцинация”
- ГЕПАТИТ
- ЛИШАЙ ОПОЯСЫВАЮЩИЙ
- ПОЛИОМИЕЛИТ
- В каких случаях мужчины начисляют штрафные очки