'

ВООТ-вирусы

Понравилась презентация – покажи это...





Слайд 0

ВООТ-вирусы А.В. Неверов


Слайд 1

Структура дискового пространства в MS DOS ВООТ-сектор FAT Копия FAT Корневой каталог Файлы и каталоги Параметры диска Программа начальной загрузки Таблица размещения файлов Копия таблицы размещения файлов В MS DOS 4.0 и выше может быть несколько Массив записей о файлах и других каталогах Пространство диска, используемое для хранения информации


Слайд 2

ВООТ-сектор (MS DOS 3.х)


Слайд 3

ВООТ-сектор (MS DOS 4 и старше)


Слайд 4

Расширенный блок параметров BIOS


Слайд 5

Элементы FAT


Слайд 6

Корневой каталог


Слайд 7

Структура BOOT-вируса ВООТ-сектор FAT Копия FAT Корневой каталог Файлы и каталоги Голова вируса Текст вируса


Слайд 8

Внедрение BOOT-вируса Голова BOOT-вируса размещается В BOOT-секторе дискеты и занимает всегда один сектор В BOOT-секторе или главной загрузочной области (MBR) диска Тело BOOT-вируса размещается В произвольных кластерах диска, обычно помеченных как плохие или зарезервированные В конце файлов (в этом случае BOOT-вирус при внедрении должен модифицировать запись о файле в каталоге и информацию о файле в FAT)


Слайд 9

Содержание головы вируса Размещение в оперативной памяти нового блока Получение физического адреса хвоста вируса на диске Размещение хвоста вируса в памяти Перехват прерываний (как правило 21h, 13h – прерываний по работе с дисками) Установка векторов перехваченных прерываний на точку входа вируса


Слайд 10

Содержимое хвоста вируса Вредоносные действия Механизм размножения, основанный на изменении BOOT-секторов подключаемых дисков (за счет перехвата прерываний 13h и 21h)


Слайд 11

Скрипт-вирусы


Слайд 12

Основные отличия скрипт-вирусов от вирусов в байт-коде Разрабатываются на скриптовых языках Perl, PHP, shell и т.д. Используют небольшой набор механизмов внедрения Для сокрытия своего присутствия обычно используют обфускацию программного кода – использовать шифрование могут только некоторые вирусы, в основном, написанные на языке Perl


Слайд 13

Прямое внедрение скрипт-вируса Скрипт Скрипт Вирус Внедрение в конец скрипта возможно, но это может снизить вероятность активации вируса. Использование GOTO для передачи Управления не рекомендуется


Слайд 14

Внедрение вызовом Скрипт script.php Скрипт script.php Вирус VIRUS.PHP include(“virus.php”);


Слайд 15

Макровирусы


Слайд 16

Необходимые условия существования макровирусов Наличие программных пакетов, имеющих возможности написания внутренних программ на встроенных языках, использующих, в первую очередь, возможности самого программного пакета - макроязыках Возможность встраивания и/или привязки макропрограмм к файлам (документам), обрабатываемых пакетом Возможность копирования макропрограмм из одной инсталляции пакета в другую или из одного документа в другой Возможность автоматической активации макропрограмм


Слайд 17

Макровирусы являются программами на языках (макроязыках), встроенных в некоторые системы обработки данных (текстовые редакторы, электронные таблицы и т.д.), а также на скрипт-языках, таких как VBA (Visual Basic for Applications), JS (Java Script)


Слайд 18

Принципы работы макровирусов макропрограммы привязаны к конкретному файлу (AmiPro) или находятся внутри файла (Word, Excel, Access); макроязык позволяет копировать файлы (AmiPro) или перемещать макропрограммы в служебные файлы системы и редактируемые файлы (Word, Excel); при работе с файлом при определенных условиях (открытие, закрытие и т.д.) вызываются макропрограммы (если таковые есть), которые определены специальным образом (AmiPro) или имеют стандартные имена (Word, Excel).


Слайд 19

Общие принципы работы Office-вирусов При работе с документами программы Office выполняют большое количество стандартных макрокоманд – Open, FileSave, FileSaveAs и т.д. При выполнении стандартных операций могут выполняться автоматические макросы – AutoSave, AutoClose, AutoExit, AutoNew и т.д. Макровирусы используют эти возможности Создание нового авто-макроса Переопределение стандартного авто-макроса Переопределение стандартного макроса (чаще всего Open)


Слайд 20

Макровирусы для Microsoft Word Макровирусы копируют свой код в область глобальных макросов Использование макроса MacroCopy Использование редактора макросов – создание нового макроса, копирование кода и сохранение При закрытии Word автоматически сохраняет макросы в шаблоне документов NORMAL.DOT При запуске Word автоматически загружает вредоносный код (видоизменненые макросы) При выполнении этих макросов код записывается в обрабатываемые файлы


Слайд 21

Макровирусы для Microsoft Excel Аналогично Microsoft Word Из-за отсутствия шаблона NORMAL.DOT текст вируса сохраняется в файлах каталога STARTUP Для создания вирусов могут использоваться язык VBA или встроенный язык электронных таблиц Excel 4


×

HTML:





Ссылка: