Перехват и обработка файловых операций

Перехват и обработка файловых операций

Перехват и обработка файловых операций происходит, когда программное средство защиты информации производит некоторые файловые операции. Для этого открывается файл, часть его или весь файл считывается в буфер оперативной памяти, обрабатывается и затем, возможно, записывается в файл с прежним или новым именем.

Активизирующим событием в данном случае является, как правило, открытие файла (INT 21h, функция 3Dh) либо его закрытие.

В операционной среде закладка, влияющая на файловые операции, порождает в системе новые связи, включая в них свои операции и массивы данных.


style="display:block; text-align:center;"
data-ad-layout="in-article"
data-ad-format="fluid"
data-ad-client="ca-pub-6007240224880862"
data-ad-slot="8925203109">

Если злоумышленнику известна интересующая его программа с точностью до команд реализации на конкретном процессоре, он может создать модель процесса ее загрузки и выяснить относительные адреса частей программы относительно сегмента оперативной памяти, в который она загружается. Это означает, что возможно произвольное изменение кода программы и, соответственно, отклонение (возможно негативного характера) в работе прикладной программы.

Тогда алгоритм действия закладки может быть таким:

  • закладка загружается в память каким-либо способом;
  • закладка осуществляет перехват (редактирование цепочки) одного или нескольких прерываний (прерывания DOS «запуск программ и загрузка оверлеев», прерывания BIOS «считать сектор», прерывание таймера);
  • по одному из трех событий закладка получает управление на себя, и далее выполняются проверка принадлежности запущенной программы или уже работающей (для таймерного прерывания) к интересующим программам, определение сегмента, в который загружена программа, запись относительно определенного сегмента загрузки некоторых значений в оперативной памяти так, чтобы отключить схемы контроля и (или) исправить программу нужным образом.


style="display:block; text-align:center;"
data-ad-layout="in-article"
data-ad-format="fluid"
data-ad-client="ca-pub-6007240224880862"
data-ad-slot="8925203109">

Принципиальная возможность исправления кода следует из того, что вывод о правильности работы программы делается на основе операций сравнения в арифметико-логическом устройстве микропроцессора.

Наконец, возможен случай, когда содержательный код программы защиты вместе со схемой контроля будет удален из памяти полностью, и все последующие операции будут выполнены без влияния программы защиты.

Яндекс.Метрика