Windows-вирусы

Windows-вирусы

Windows-вирусы. Для того чтобы оставить выполняемый код в памяти, они используют три способа, которые уже применялись различными вирусами.

Самый простой способ — зарегистрировать программу как одно из приложений, работающих в данный момент. Для этого программа регистрирует свою задачу, окно которой может быть свернутым, свой обработчик системных событий и т.д. Второй способ — выделить блок системной памяти при помощи DPMI вызовов и скопировать в нем свой код (вирус Ph33r). Третий способ — остаться резидентно как VxD драйвер (Windows 3.хх и Windows 95) или как драйвер Windows NT.

Перехват обращений к файлам производится одним из двух способов: либо перехватываются вызовы INT 21 h (Hook_V86_Int_Chain, Get/Set_V86_lnt_Vector, Get/Set_PM_lnt_Vector), либо перехватывается системный вызов API. Затем резидентные Windows вирусы действуют примерно так же, как и DOS вирусы: перехватывают обращения к файлам и заражают их.

Для обнаружения уже имеющейся в памяти резидентной копии используются примерно те же способы, которые описаны выше, за исключением VxD вирусов. Известные VxD вирусы загружаются в память при загрузке Windows. Для этого они записывают команду запуска в файл конфигурации Windows system.ini. Если в этом файле уже есть команда запуска вирусного VxD файла, то вирус не производит повторной регистрации своего VxD файла.

Яндекс.Метрика