O организует цепочку передачи управления согласно схеме

Виды вирусов

Среди всего разнообразия вирусов можно выделить следующие основные группы:

• загрузочные

Попробуем разобраться с этим видом вируса на основе простого примера. Мы упустим несколько тонкостей при разборке алгоритма, для обычного пользователя они не важны.
При включение компьютера управление берёт на себя программе начальной загрузки, которая хранится в ПЗУ (постоянно запоминающем устройстве).

Эта программа тестирует оборудование и при успешном завершении проверок пытается найти дискету в дисководе А: Вся память размечена на секторы и дорожки. Множество секторов являются кластерами.

Среди секторов есть зарезервированные системой секторы, в них хранится информация системы. Сейчас нам интересен сектор начальной загрузки. В нём хранится информация о памяти - количество поверхностей, количество дорожек, количество секторов. Так же там есть небольшая программа начальной загрузки, благодаря которой загружается ОС.

Таким образом, нормальная схема начальной загрузки следующая:
ПНЗ (ПЗУ) - ПНЗ (диск) - СИСТЕМА
Теперь о самом вирусе. В загрузочном вирусе присутствует голова и хвост. Но хвоста может не быть. Теперь начинается самое интересное. Допустим, у нас есть инфицированный компьютер и новый диск (Пример с активным резидентным вирусом) Как только вы вставите диск в дисковод вирус приступит к заражению. Алгоритм заражения:

• o выделяет некоторую область диска и помечает ее как недоступную операционной системе, это можно сделать по-разному, в простейшем и традиционном случае занятые вирусом секторы помечаются как сбойные
• ^

O копирует в выделенную область диска свой хвост и оригинальный загрузочный сектор

• o замещает программу начальной загрузки в загрузочном секторе своей головой
• ^

o организует цепочку передачи управления согласно схеме.

Теперь вирус получает управление первым, устанавливается в память и передает управление настоящему загрузочному сектору. Обычная цепочка
ПНЗ (ПЗУ) - ПНЗ (диск) - СИСТЕМА Нарушенная:
ПНЗ (ПЗУ) - ВИРУС - ПНЗ (диск) - СИСТЕМА Теперь мы знаем, как вирусы ведет себя при заражение диска. Примерно так же вирусы могут заразить жесткий диск. Но винчестер имеет два типа загрузочных секторов, содержащих программы начальной загрузки. Первой получает управление программа начальной загрузки в MBR. У многих людей жёсткий диск разбит на несколько разделов, но только в одном из них присутствует программа начальной загрузки. Программа начальной загрузки в MBR находит загрузочный раздел винчестера и передает управление на программу начальной загрузки этого раздела. Код последней совпадает с кодом программы начальной загрузки, содержащейся на обычных дискетах, а соответствующие загрузочные секторы отличаются только таблицами параметров. Тут загрузочный вирус имеет две программы для заражения - программа начальной загрузки в MBR и программа начальной загрузки в бут-секторе загрузочного диска.

• файловые

Теперь разберём работу файлового вируса. В отличие от загрузочных вирусов, которые практически всегда резидентны, файловые вирусы совсем не обязательно резидентны. Пусть у нас имеется инфицированный исполняемый файл. При активации, которого файл вируса получает управление, производит некоторые действия и передает управление пользователю. Что же сделал вирус? Он нашёл новый объект для заражения - подходящий по типу файл, который еще не заражен, но есть вирусы, которые заражают все файлы подряд. Заражая файл, вирус вставляет в его код свою часть, чтобы получать управление при запуске этого файла. Кроме своей основной функции - размножения, вирус вполне может сделать что-нибудь замысловатое (сказать, спросить, сыграть) - это уже зависит от фантазии вирусодела. Если файловый вирус резидентный,, то он установится в память и получит возможность заражать файлы и проявлять прочие способности не только во время работы зараженного файла. Заражая исполняемый файл, вирус, всегда изменяет его код - следовательно, заражение исполняемого файла всегда можно обнаружить. Но, изменяя код файла, вирус не обязательно вносит другие изменения:

• 
  • он не обязан менять длину файла
• 
  • неиспользуемые участки кода
• 
  • не обязан менять начало файла

Наконец, к файловым вирусам часто относят вирусы, которые "имеют некоторое отношение к файлам", но не обязаны внедряться в их код. Рассмотрим в качестве примера схему функционирования вирусов известного семейства Dir-II. Нельзя не признать, что появившись в 1991 г., эти вирусы стали причиной настоящей эпидемии чумы в России. Рассмотрим модель, на которой ясно видна основная идея вируса. Информация о файлах хранится в каталогах. Каждая запись каталога включает в себя имя файла, дату и время создания, некоторую дополнительную информацию, номер первого кластера файла и т.н. резервные байты. Последние оставлены "про запас" и самой MS-DOS не используются. запуске исполняемых файлов система считывает из записи в каталоге первый кластер файла и далее все остальные кластеры. Вирусы семейства Dir-II производят следующую "реорганизацию" файловой системы: сам вирус записывается в некоторые свободные секторы диска, которые он помечает как сбойные. Кроме того, он сохраняет информацию о первых кластерах исполняемых файлов в резервных битах, а на место этой информации записывает ссылки на себя. образом, при запуске любого файла вирус получает управление (операционная система запускает его сама), резидентно устанавливается в память и передает управление вызванному файлу.