<<
>>

Резидентные вирусы

До сих пор мы считали, что при выполнении зараженной программы вирус запускается, передает управление настоящей программе, а затем завершает свою работу. В отличие от этого резидентные вирусы (memory-resident virus) остаются в оперативной памяти на все время работы машины, либо спрятавшись в самых верхних адресах памяти, либо, возможно, «прячась в траве», среди векторов прерываний в нескольких сотнях байтов, остающихся, как правило, незадействованными.
Самые изощренные вирусы могут даже изменить карту памяти операционной системы, заставив ее считать память, куда загрузился вирус, занятой, чтобы устранить угрозу ее перезаписи.

Типичный резидентный вирус перехватывает один из векторов системного или обычного прерывания за счет копирования содержимого в рабочую переменную и помещения в вектор собственного адреса, направляя это прерывание на себя. Лучше всего перехватить системное прерывание. В таком случае вирус получает возможность запускаться в режиме ядра при каждом системном вызове. Когда он завершает свою работу, он просто осуществляет настоящий системный вызов, передавая управление по сохраненному адресу системного прерывания.

А зачем вирусу запускаться при каждом системном вызове? Естественно, для того, чтобы заражать программы. Вирус может просто выжидать, пока не поступит системный вызов exec, а затем, зная, что файл, имеющийся у него в распоряжении, является исполняемым двоичным (и, наверное, вполне для этого подходящим) файлом, заражает его. Для этого процесса не требуется такой большой активности диска, как при использовании кода, представленного в листинге 9.2, поэтому он меньше бросается в глаза. Перехват всех системных прерываний также дает вирусу огромные возможности для шпионского сбора информации и нанесения различного вреда.

<< | >>
Источник: Э. ТАНЕНБАУМ Х. БОС. СОВРЕМЕННЫЕ ОПЕРАЦИОННЫЕ СИСТЕМ Ы 4-е ИЗДАНИЕ. 2015

Еще по теме Резидентные вирусы:

  1. ВИРУС
  2. ИЗЛЕЧЕНИЕ ОТ «ВИРУСА ОБИДЫ»
  3. Вирусы бедности и нищеты и их причины
  4. Статья 130. Заражение вирусом иммунодефицита человека либо иной неизлечимой инфекционной болезни
  5. Статья 132. Разглашение сведений о проведении медицинского обследования на выявление заражения вирусом иммунодефицита человека либо иной неизлечимой инфекционной болезни
  6. Статья 131. Ненадлежащее исполнение профессиональных обязанностей, повлекшее заражение лица вирусом иммунодефицита человека либо иной неизлечимой инфекционной болезни
  7. 15.4. ЭПИДЕМИЯ ИДЕЙ
  8. “Вакцинация”
  9. ГЕПАТИТ
  10. ЛИШАЙ ОПОЯСЫВАЮЩИЙ
  11. ПОЛИОМИЕЛИТ
  12. В каких случаях мужчины начисляют штрафные очки