Библиотека Рефераты Курсовые Дипломы Поиск
Библиотека Рефераты Курсовые Дипломы Поиск
сделать стартовой добавить в избранное
Кефирный гриб на сайте za4eti.ru

Компьютеры, Программирование Компьютеры, Программирование

Полиморфные вирусы

Чашка "Неваляшка".
Ваши дети во время приёма пищи вечно проливают что-то на ковёр и пол, пачкают руки, а Вы потом тратите уйму времени на выведение пятен с
222 руб
Раздел: Тарелки
Гуашь "Классика", 12 цветов.
Гуашевые краски изготавливаются на основе натуральных компонентов и высококачестсвенных пигментов с добавлением консервантов, не
170 руб
Раздел: 7 и более цветов
Фонарь садовый «Тюльпан».
Дачные фонари на солнечных батареях были сделаны с использованием технологии аккумулирования солнечной энергии. Уличные светильники для
106 руб
Раздел: Уличное освещение

Введение в полиморфизм Как известно, первые вирусы появились давно. Они заражали древние компьютеры, и ничто не могло их остановить, кроме бдительного пользователя машины. Затем были придуманы антивирусы, определяющие их по характерным симптомам. Но через какое-то время вирус перестал быть тупой мишенью для антивируса. Теперь вирус был наделен специальными возможностями, что позволяло ему быть незамеченным в системе. Одним из вариантов защиты от определения является полиморфизм. В далеком 1990 году он чуть было не погубил всю антивирусную индустрию. Только благодаря профессионализму работников лаборатории были внедрены сложные методы, направленные на уничтожение полиморфных вирусов. Как же они работают? Вообще, полиморфизм - высококлассная техника, позволяющая вирусу быть незамеченным по стандартной сигнатуре (или, попросту, маске). Обычно детекторы определяют вирус по характерным кускам его кода. В случае с полиморфным вирусом такое не пройдет. Два файла, зараженные одним и тем же вирусом, всегда будут иметь разный размер. Засечь такой вирус очень сложно. Все полиморфные вирусы обязательно снабжаются расшифровщиком кода, который по определенному принципу преобразует переданный ему код, вызывая при этом стандартные функции и процедуры операционной системы. Сами методы шифрования могут быть разными, но, как правило, каждая операция имеет свою зеркальную пару. В ассемблере это реализуется очень просто, и таких пар может быть много - ADD/SUB, XOR/XOR, ROL/ROR и т.п. Подобные операции проводятся для расшифровки ячеек памяти. Немаловажной особенностью полиморфного вируса является то, что вирус содержит мусор, то есть операнды, функции и процедуры, которые служат лишь для запутывания кода. При этом реализуются две цели: 1. Сложность изучения кода при трассировке файла. Эта цель актуальна лишь для новичка, профессионал, который изучением вирусов занимался многие годы, сразу во всем разберется. 2. Увеличение элемента случайности в расшифровщике. Место их вставки имеет огромное влияние на размер кода. С мусором же появляются новые варианты компоновки кода. Размер при каждом из них будет разным. Ассемблер дает безграничные возможности по вставке мусора, поэтому вставки могут быть различными. Вот некоторые их виды: 1. Регистровые операции. Как правило, арифметические и логические. Примером могут служить следующие команды: i c ax; mov ax,; add ax,1234h и др. 2. Зеркальные команды. Такие, как add/sub, i c/dec и прочие. 3. Ложные переходы, а также вызов подпрограмм, содержащих мусор (jmp $ 10h; call XXXXh). 4. Простой мусор из одиночных операндов (daa; op; cld и т.д.). Выделяют несколько уровней полиморфизма, используемых в вирусе. Каждый из них по-разному реализует неодинаковый размер файлов, которые были заражены. Уровень 1. Самые простые олигоморфные вирусы. Они используют постоянные значения для своих расшифровщиков, поэтому легко определяются антивирусами. Из за этого такие вирусы прозвали &quo ;не очень полиморфными&quo ;. Примеры таких вирусов: Cheeba, December 3, Slovakia, V-Sig , Whale. Уровень 2. Вирусы, имеющие одну или две постоянные инструкции, которые используются в расшифровщике.

Также определяются по сигнатуре, но имеют более сложное строение, чем представители первого уровня. Примеры: ABC, DM, Flip, Jerusalem, O ario, PC-Flu, Phoe ix, Sea , S asi, Suomi. Уровень 3. Вирусы, использующие в своем коде команды-мусор. Это, в своем роде, ловушка от детектирования, помогает запутать собственный код. Но такой вирус может быть засечен с помощью предварительного отсеивания мусора антивирусом. Вирусы equila, S arShip, V2Px, DrWhi e принадлежат к третьему уровню полиморфизма. Уровень 4. Использование взаимозаменяемых инструкций с перемешиванием в коде, без дополнительного изменения алгоритма расшифровки, помогает полностью запутать антивирус. При этом невозможно &quo ;поймать&quo ; вирус по стандартной маске. Приходится выполнять перебор, после которого нужная сигнатура будет найдена. Так были написаны вирусы Uruguay, CLME, APE. Уровень 5. Реализация всех вышеизложенных уровней с поддержкой различных алгоритмов в расшифровщике помогает достичь высокого уровня полиморфизма. При этом может существовать несколько параллельных процессов расшифровки, когда один будет преобразовывать код другого или наоборот. Распознавание таких вирусов - очень сложный процесс. Для этого необходимо произвести тщательный анализ кода самого расшифровщика. С лечением сложнее - приходится трассировать не только генератор, но и тело самого вируса для выявления полной информации о зараженном файле. Эта процедура занимает довольно продолжительное время и может закончиться неудачно. Лечить вирусы этого уровня может лишь DrWeb, в остальных программах это попросту не реализовано. К представителям уровня относятся DAME и др. Уровень 6 (неизлечимый). И, наконец, существуют вирусы, которые состоят из программных единиц-частей. Они постоянно меняются в теле и перемещают свои подпрограммы. Лечение таких вирусов пока не производится, но и для написания нужно очень хорошо разбираться в ассемблере. Характерной особенностью такой заразы являются пятна. При этом в различные места файла записывается несколько блоков кода, что обуславливает название метода. Такие пятна в целом образуют полиморфный расшифровщик, который работает с кодом в конце файла. Для реализации метода даже не нужно использовать команды-мусор - подобрать сигнатуру будет все равно невозможно. Такой алгоритм используют вирусы BadBoy, Comma derBomber, Leech и т.п. Полиморфизм стал очень распространенным лишь благодаря расшифровщику. Удобно то, что один файл может работать со многими вирусами. Этим и пользуются вирусописатели, используя чужой модуль. Подводным камнем при таком раскладе может стать ситуация, когда в базе антивируса хранится используемый расшифровщик. Если это случилось, все вирусы, подключенные к нему, будут детектироваться.Любой может написать хороший полиморфный вирус. Необходимо лишь немного разбираться в ассемблере. На создание среднего полиморфного вируса тратится не более шести часов. Очень проста реализация поиска зеркальных команд. Для этого необходимо создать сводную таблицу с операндами. К ней должна прилагаться дополнительная информация: наличие зеркала, необходимость замены команды и прочее.

Если человек немного понимает в вирусологии и ассемблере, то составить подобную таблицу ему будет несложно. С командами-мусором можно поступить аналогичным образом, как и с зеркалами. Кстати о мусоре. К таким инструкциям прилагается ряд ограничений, которые должен исполнять каждый вирусописатель, чтобы его творение работало как следует. Итак, команда не должна: 1. Передавать управление за внешнюю программу. То есть управлять кодом может лишь расшифровщик и никто другой. Если нарушить это правило - вирус будет замечен. 2. Изменять регистры, которые используют рабочие команды. Мусор есть мусор и он никоим образом не должен пересекаться с правильным кодом. 3. Вызывать фатальные ошибки, а также генерировать исключения, так как это остановит работу расшифровщика, либо сделает ее неверной. Смысл всех правил сводится к одному - мусор не должен мешать процессу расшифровки кода, а лишь радовать глаз антивируса и неопытного пользователя, трассирующего зараженный файл. Еще надо ставить нерабочую команду после цикла, но перед шифрованным кодом - это избавит от некоторых проблем с конвейером у процессоров Pe ium. В полиморфы нередко встраивают код, который выполняется в зависимости от определенной ситуации. Например, при детектировании вируса он может вызвать процедуру самоуничтожения. Как самого себя (частичная или полная безвозвратная модификация кода), так и системы (массовое заражение системных файлов без возможности восстановления). Это очень осложняет поиск антивируса от полиморфного вируса - до антивирусной лаборатории вирус доходит уже в нерабочем состоянии. Также были случаи вызова исключающего кода при попытке излечения вируса(на высоком уровне полиморфизма). Вирусописатели прежде всего акцентируют внимание на трех главных вещах в своем творении: 1. Маскировка. Цель каждого полиморфного вируса - как можно дольше продержаться в системе до детектировании антивирусом. 2. Защита. После обнаружения заразы происходит вызов исключающего кода. 3. Сложность. Код вируса должен быть очень запутанным, содержать в себе инструкции-зеркала, команды-мусор и прочее. Это обычно работает против новичка, но профессионал в течение нескольких часов изучения кода при трассировке, проследит за алгоритмом вируса. Первый полиморфный вирус появился в 1990 году и назывался Chameleo . Он вписывал свой код в конец COM-файлов, а также использовал два алгоритма шифрования. Первый шифрует тело по таймеру в зависимости от значения заданного ключа. Второй использует динамическое шифрование и при этом активно мешает трассировке вируса. Существовала и модификация Chameleo . Вторая версия 1 апреля форматировала диск A: (учитывая объемы того времени, это было весьма неприятно). После этого эволюция полиморфов завершилась. Только через три года вышел вирус Pha om1, который добрался и до русских компьютеров. Он не был опасен, хотя содержал в коде ряд ошибок, из-за которых генератор не мог расшифровать тело вируса. При этом исполняемый файл переставал функционировать. После длительного простоя системы фантом выводил на экран видеоизображение с надписью. Она гласила, что компьютер находится под наблюдением опасного вируса.

В цереброспинальной жидкости обнаруживают лимфоциты; часто этому предшествует появление полиморфно-ядерных клеток. При хронических формах в этой жидкости часто определяется высокий уровень белка. Возбудитель инфекционного серозного менингита выявляется при вирусологическом исследовании; применяются также серологические методы. Острый лимфоцитарный хориоменингит. Возбудитель – фильтрующийся вирус, выделенный Д.Армстронгом и Р.Лилли в 1934 г. Основной резервуар вируса – серые домовые мыши, выделяющие возбудитель с носовой слизью, мочой и калом. Заражение человека происходит вследствие употребления пищевых продуктов, загрязненных мышами. Заболевание чаще бывает спорадическим, но возможны и эпидемические вспышки. Клинические проявления. Инкубационный период колеблется от 6 до 13 дней. Возможен продромальный период (разбитость, слабость, катаральное воспаление верхних дыхательных путей), после которого температура тела внезапно повышается до 39—40 °С, и в течение нескольких часов развивается выраженный оболочечный синдром с сильными головными болями, повторной рвотой и нередко помрачением сознания

1. Культивирование вирусов

2. Вирус Эбола

3. Борьба с компьютерными вирусами

4. Компьютерные вирусы

5. Компьютерные вирусы

6. Компьютерные вирусы
7. Компьютерные вирусы
8. Компьютерные вирусы

9. Компьютерные вирусы

10. Вирусы гриппа и парагриппа

11. Вирус СПИД

12. Сексуально-трансмиссивные расстройства. Вирус папилломы человека.

13. Гепатит С. Строение вируса, профилактика, лечение, этиология, etc.

14. Компьютерные вирусы - понятие и классификация

15. Вирусы. Интерферон

16. Чем опасны вирусы и как защитить себя от них?

Игра "Моя первая монополия".
Динамичная игра в торговлю недвижимостью! Играй и учись зарабатывать! Считай деньги, копи наличные и побеждай! Ты можешь стать владельцем
1418 руб
Раздел: Классические игры
Трамвай.
Детский трамвай незаменимый подарок для каждого мальчика. Доставит удовольствие как юным искателям приключений, так и взрослым любителям
720 руб
Раздел: Автобусы, троллейбусы, трамваи
Настольная игра "Выдерни морковку".
Игра позволит вам интересно провести время в кругу семьи и друзей! Зайцы устраивают соревнования за морковкой, которая растет на верху
1790 руб
Раздел: Игры с фигурками

17. Вирусы

18. Вирусы

19. Природа вирусов

20. Компьютерные вирусы и борьба с ними

21. Компьютерные вирусы и борьба с ними

22. Вирусы против технологии NX в Windows XP SP2
23. Что такое вирусы?
24. СОМ-вирусы

25. Маскировка вирусов

26. Анализ алгоритма вируса

27. Вирусы и борьба с ними

28. Компьютерные вирусы

29. Компьютерные вирусы

30. Компьютерные вирусы и борьба с ними

31. Полиморфные Вектора

32. Методы борьбы с вирусами

Горшок эмалированный (без рисунка), 3 л.
Горшок эмалированный, с крышкой. Объем: 3 литра.
497 руб
Раздел: Горшки обычные
Рюкзак для старших классов, студентов и молодежи "Старлайт", 30 литров, 46x34x18 см.
Рюкзак для старших классов, студентов и молодежи. 2 основных отделения, 4 дополнительных кармана. Формоустойчивая спинка. Ремни
1102 руб
Раздел: Без наполнения
Мягкий пол универсальный, зеленый, 60x60 см (4 детали).
4 детали - 1,5 кв.м. Пол идет в комплекте с кромками.
1080 руб
Раздел: Прочие

33. История компьютерных вирусов и противодействие им

34. «Летучий» вирус

35. Вирусы

36. Мутация вирусов, характеристика мутагенов

37. Медицинское и ветеринарное значение вирусов

38. Вирусы и бактерии
39. Жизненный цикл клетки, вирусы и бактериофаги. Размножение и развитие организмов
40. Вирусы

41. Вирусы и антивирусные программы

42. Исследование способов защиты от компьютерных вирусов программными методами и выбор оптимального антивирусного клиента

43. Компьютерные вирусы

44. Компьютерные вирусы

45. Компьютерные вирусы и антивирусы

46. Компьютерные вирусы и средства антивирусной защиты

47. Компьютерные вирусы. Классификация

48. Компютърните вируси

Бальзам для стирки спортивной одежды Domal "Sport Fashion", 750 мл.
Бальзам для стирки спортивной одежды Domal "Sport Fashion" можно использовать как самостоятельное средство для стирки спортивной
331 руб
Раздел: Гели, концентраты
Сиденье в ванну раздвижное пластиковое.
Сиденье предназначено для принятия гигиенических процедур, используется как санитарно-гигиеническое приспособление, не предназначенное для
437 руб
Раздел: Решетки, сиденья для ванны
Зонт на коляску Lorelli, цвет: терракотовый.
Универсальный зонт для коляски. Защитит малыша во время продолжительных прогулок как от солнца, так и от внезапного дождика. Универсальное
425 руб
Раздел: Зонтики для колясок

49. Троянский вирус

50. Экспериментальные заболевания, обусловленные вирусом герпеса и инфекциями слюнных желез

51. Вирус иммунодефицита

52. Вирусы – возбудители внутриутробных инфекций. Таксономия

53. ДНК-геномные вирусы. Вирус папилломы и полиомы человека


Поиск Рефератов на сайте za4eti.ru Вы студент, и у Вас нет времени на выполнение письменных работ (рефератов, курсовых и дипломов)? Мы сможем Вам в этом помочь. Возможно, Вам подойдет что-то из ПЕРЕЧНЯ ПРЕДМЕТОВ И ДИСЦИПЛИН, ПО КОТОРЫМ ВЫПОЛНЯЮТСЯ РЕФЕРАТЫ, КУРСОВЫЕ И ДИПЛОМНЫЕ РАБОТЫ. 
Вы можете поискать нужную Вам работу в КОЛЛЕКЦИИ ГОТОВЫХ РЕФЕРАТОВ, КУРСОВЫХ И ДИПЛОМНЫХ РАБОТ, выполненных преподавателями московских ВУЗов за период более чем 10-летней работы. Эти работы Вы можете бесплатно СКАЧАТЬ.