Computer Science - Viruses. part one
0 29 fiche zst2000
| question | réponse | |||
|---|---|---|---|---|
|
Malware - z ang. malicious software - wszelkie aplikacje, skrypty itp. mające szkodliwe, przestępcze lub złośliwe działanie w stosunku do użytkownika komputera
|
||||
|
Wirusy, Robaki, Trojany, Exploity, Dialery
|
||||
|
wrogo wykonany kod, który dołącza się, nadpisuje lub zamienia inny program w celu reprodukcji samego siebie
|
||||
|
Pasożytnicze, Wieloczęściowe, gnieżdzące się w sektorze rozruchowym, wirusy towarzyszące, makro wirusy
|
||||
|
Wykorzystują inne pliki do transportu, pliki użyte do transportu są uszkodzone (zmodyfikowane).
|
||||
|
Kopia zapasowa zainfekowanych plików
|
||||
|
Lokujące się na końcu pliku - dopisują kod wirusa na koniec pliku, a następnie modyfikują początek pliku tak, aby wywołanie pliku uruchamiało wirusa.
|
||||
|
lokujące się na początku pliku - lokują się na początku pliku i nieodwracalnie go niszczą
|
||||
|
nagłówkowe - Lokują się w nagłówkach plików EXE przeznaczonych dla systemu DOS.
|
||||
|
lokujące się pustych miejscach - znajdują w pliku miejsca, gdzie jest jakiś pusty obszar. Obszar ten wypełniony jest ciągiem zer i można go nadpisać nie niszcząc pliku
|
||||
|
lokujące się w dowolnym miejscu pliku, Są bardzo rzadkie i trudne do napisania
|
||||
|
wykorzystujące część ostatniego klastra - korzystają z faktu, iż plik rzadko zajmuje dokładnie wielokrotność jednego klastra
|
||||
|
Składają się z co najmniej dwóch współdziałających ze sobą części, Części wzajemnie kontrolują swoją obecność i rozmnażają się, Bardzo trudne do usunięcia – usunięcie jednej części przez antywirus zaraz jest "naprawiane" przez inną część
|
||||
|
Bardzo trudne do usunięcia – formatowanie dysku twardego nie pomaga. Konieczny jest program do przywracania oryginalnej postaci MBR'a
|
||||
|
Tworzone niegdyś dla systemu DOS. Działa on na zasadzie: te same nazwy, inne roszerzenia. W dos gdy podamy nazwe programu a np. są 2 takie ale z innymi roszerzeniami, to najpierw uruchomi się COM, potem EXE i potem BAT.
|
||||
|
Wykorzystują te właściwość i tworzą wirusy z roszerzeniem COM by otwierały się przed programem. (jeśli program ma com to nie będzie infekcji)
|
||||
|
Wykorzystują pliki BAT. Po uruchomieniu zainfekowanego pliku wsadowego tworzony jest plik uruchamialny EXE, który zawiera właściwy kod infekujący pliki BAT, Plik BAT jest następnie kasowany, a plik wykonywalny jest uruchamiany
|
||||
|
Istnieją makra, które aplikacje Microsoft Office automatycznie uruchamiają przy otwarciu dokumentu, można je wyłączyć ale zmniejszysz funkcjonalność dokumentu. te wirusy Rozmnażają się przez wykonanie swojego kodu zapisanego w makrach
|
||||
|
Wirusy nierezydentne i rezydentne
|
||||
|
Po uruchomieniu nosiciela wirus poszukuje obiektów, które może zarazić. Jeśli taki znajdzie, to kolejny jest infekowany, a potem sterowanie oddaje do nosiciela. łatwe do wykrycia, aktywność jest ograniczona, zarażają pliki tylko po uruchomieniu nosiciela
|
||||
|
Instalują się w pamięci operacyjnej komputera i ukrywają kod przed programami przeglądającymi pamięć, Jeżeli działają w trybie jądra (są przenoszone przez sterowniki), to mogą przejmować przerwania sprzętowe i manipulować urządzeniami.
|
||||
|
podszywają się pod usługi systemu
|
||||
|
Szybkie Infektory - intensywnie się rozmnażają, aktywność łatwa do zauważenia, jeśli nie jest maskowana przez usługi systemowe, antywirusy mogą nie nadążyć z ich usuwaniem.
|
||||
|
Powolne infektory - rozmnażają się powoli, infekują głównie pliki tworzone lub modyfikowane przez użytkownika, maskują swoją obecność
|
||||
|
technologia stealth, samomodyfikacja, szyfrowanie kluczem zmiennym, kod polimorficzny, kod metamorficzny
|
||||
|
Niektóre wirusy potrafią przejmować funkcję odczytu pliku i podawać dla antywirusa oryginalną, niezmodyfikowaną postać pliku, Jedyną obroną przed takimi wirusami jest uruchomienie systemu z czystego nośnika i wówczas uruchomienie antywirusa
|
||||
|
Większość antywirusów wykrywa wirusy przez tzw. sygnatury pozyskiwane z bazy danych wirusów, Sygnatura jest charakterystycznym ciągiem bajtów występującym w kodzie wirusa
|
||||
|
Niektóre wirusy zmieniają swój kod tak, aby nie tworzyły się charakterystyczne sygnatury
|
||||
|
Wirus składa się z dwóch części: właściwej (zaszyfrowanej) i małego deszyfratora (części niezaszyfrowanej) który deszyfruje część właściwą i po umieszczeniu jej w innym pliku szyfruje innym kluczem, Wykrycie możliwe, ale tylko niezaszyfrowanej części
|
||||
