ВООТ-вирусы

Содержание

Слайд 2

Структура дискового пространства в MS DOS

ВООТ-сектор

FAT

Копия FAT

Корневой каталог

Файлы и каталоги

Параметры диска
Программа начальной

Структура дискового пространства в MS DOS ВООТ-сектор FAT Копия FAT Корневой каталог
загрузки

Таблица размещения файлов

Копия таблицы размещения файлов
В MS DOS 4.0 и выше может быть несколько

Массив записей о файлах и других каталогах

Пространство диска, используемое
для хранения информации

Слайд 3

ВООТ-сектор (MS DOS 3.х)

ВООТ-сектор (MS DOS 3.х)

Слайд 4

ВООТ-сектор (MS DOS 4 и старше)

ВООТ-сектор (MS DOS 4 и старше)

Слайд 5

Расширенный блок параметров BIOS

Расширенный блок параметров BIOS

Слайд 6

Элементы FAT

Элементы FAT

Слайд 7

Корневой каталог

Корневой каталог

Слайд 8

Структура BOOT-вируса

ВООТ-сектор

FAT

Копия FAT

Корневой каталог

Файлы и каталоги

Голова вируса

Текст вируса

Структура BOOT-вируса ВООТ-сектор FAT Копия FAT Корневой каталог Файлы и каталоги Голова вируса Текст вируса

Слайд 9

Внедрение BOOT-вируса

Голова BOOT-вируса размещается
В BOOT-секторе дискеты и занимает всегда один сектор
В BOOT-секторе

Внедрение BOOT-вируса Голова BOOT-вируса размещается В BOOT-секторе дискеты и занимает всегда один
или главной загрузочной области (MBR) диска
Тело BOOT-вируса размещается
В произвольных кластерах диска, обычно помеченных как плохие или зарезервированные
В конце файлов (в этом случае BOOT-вирус при внедрении должен модифицировать запись о файле в каталоге и информацию о файле в FAT)

Слайд 10

Содержание головы вируса

Размещение в оперативной памяти нового блока
Получение физического адреса хвоста вируса

Содержание головы вируса Размещение в оперативной памяти нового блока Получение физического адреса
на диске
Размещение хвоста вируса в памяти
Перехват прерываний (как правило 21h, 13h – прерываний по работе с дисками)
Установка векторов перехваченных прерываний на точку входа вируса

Слайд 11

Содержимое хвоста вируса

Вредоносные действия
Механизм размножения, основанный на изменении BOOT-секторов подключаемых дисков (за

Содержимое хвоста вируса Вредоносные действия Механизм размножения, основанный на изменении BOOT-секторов подключаемых
счет перехвата прерываний 13h и 21h)

Слайд 12

Скрипт-вирусы

Скрипт-вирусы

Слайд 13

Основные отличия скрипт-вирусов от вирусов в байт-коде

Разрабатываются на скриптовых языках
Perl, PHP, shell

Основные отличия скрипт-вирусов от вирусов в байт-коде Разрабатываются на скриптовых языках Perl,
и т.д.
Используют небольшой набор механизмов внедрения
Для сокрытия своего присутствия обычно используют обфускацию программного кода – использовать шифрование могут только некоторые вирусы, в основном, написанные на языке Perl

Слайд 14

Прямое внедрение скрипт-вируса

Скрипт

Скрипт

Вирус

Внедрение в конец скрипта возможно, но это
может снизить вероятность активации

Прямое внедрение скрипт-вируса Скрипт Скрипт Вирус Внедрение в конец скрипта возможно, но
вируса.
Использование GOTO для передачи
Управления не рекомендуется

Слайд 15

Внедрение вызовом

Скрипт
script.php

Скрипт
script.php

Вирус
VIRUS.PHP

include(“virus.php”);

Внедрение вызовом Скрипт script.php Скрипт script.php Вирус VIRUS.PHP include(“virus.php”);

Слайд 16

Макровирусы

Макровирусы

Слайд 17

Необходимые условия существования макровирусов

Наличие программных пакетов, имеющих возможности написания внутренних программ на

Необходимые условия существования макровирусов Наличие программных пакетов, имеющих возможности написания внутренних программ
встроенных языках, использующих, в первую очередь, возможности самого программного пакета - макроязыках
Возможность встраивания и/или привязки макропрограмм к файлам (документам), обрабатываемых пакетом
Возможность копирования макропрограмм из одной инсталляции пакета в другую или из одного документа в другой
Возможность автоматической активации макропрограмм

Слайд 18

Макровирусы

являются программами на языках (макроязыках), встроенных в некоторые системы обработки данных (текстовые

Макровирусы являются программами на языках (макроязыках), встроенных в некоторые системы обработки данных
редакторы, электронные таблицы и т.д.), а также на скрипт-языках, таких как VBA (Visual Basic for Applications), JS (Java Script)

Слайд 19

Принципы работы макровирусов

макропрограммы привязаны к конкретному файлу (AmiPro) или находятся внутри файла

Принципы работы макровирусов макропрограммы привязаны к конкретному файлу (AmiPro) или находятся внутри
(Word, Excel, Access);
макроязык позволяет копировать файлы (AmiPro) или перемещать макропрограммы в служебные файлы системы и редактируемые файлы (Word, Excel);
при работе с файлом при определенных условиях (открытие, закрытие и т.д.) вызываются макропрограммы (если таковые есть), которые определены специальным образом (AmiPro) или имеют стандартные имена (Word, Excel).

Слайд 20

Общие принципы работы Office-вирусов

При работе с документами программы Office выполняют большое количество

Общие принципы работы Office-вирусов При работе с документами программы Office выполняют большое
стандартных макрокоманд – Open, FileSave, FileSaveAs и т.д.
При выполнении стандартных операций могут выполняться автоматические макросы – AutoSave, AutoClose, AutoExit, AutoNew и т.д.
Макровирусы используют эти возможности
Создание нового авто-макроса
Переопределение стандартного авто-макроса
Переопределение стандартного макроса (чаще всего Open)

Слайд 21

Макровирусы для Microsoft Word

Макровирусы копируют свой код в область глобальных макросов
Использование макроса

Макровирусы для Microsoft Word Макровирусы копируют свой код в область глобальных макросов
MacroCopy
Использование редактора макросов – создание нового макроса, копирование кода и сохранение
При закрытии Word автоматически сохраняет макросы в шаблоне документов NORMAL.DOT
При запуске Word автоматически загружает вредоносный код (видоизменненые макросы)
При выполнении этих макросов код записывается в обрабатываемые файлы
Имя файла: ВООТ-вирусы.pptx
Количество просмотров: 129
Количество скачиваний: 0