Computer Science - Viruses. part one

Co to złośliwe oprogramowanie i jaką ma nazwe inaczej?

Malware - z ang. malicious software - wszelkie aplikacje, skrypty itp. mające szkodliwe, przestępcze lub złośliwe działanie w stosunku do użytkownika komputera

Jakie są rodzaje złośliwego oprogramowania?

Wirusy, Robaki, Trojany, Exploity, Dialery

Wirus to?

wrogo wykonany kod, który dołącza się, nadpisuje lub zamienia inny program w celu reprodukcji samego siebie

Wirusy dzielą się na?

Pasożytnicze, Wieloczęściowe, gnieżdzące się w sektorze rozruchowym, wirusy towarzyszące, makro wirusy

Wirusy pasożytnicze to?

Wykorzystują inne pliki do transportu, pliki użyte do transportu są uszkodzone (zmodyfikowane).

Jak się uratować od wirusa pasożytniczego?

Kopia zapasowa zainfekowanych plików

Jakie jest położenie wirusa pasożytniczego?

Lokujące się na końcu pliku - dopisują kod wirusa na koniec pliku, a następnie modyfikują początek pliku tak, aby wywołanie pliku uruchamiało wirusa.

Jakie jest położenie wirusa pasożytniczego? 2

lokujące się na początku pliku - lokują się na początku pliku i nieodwracalnie go niszczą

Jakie jest położenie wirusa pasożytniczego? 3

nagłówkowe - Lokują się w nagłówkach plików EXE przeznaczonych dla systemu DOS.

Jakie jest położenie wirusa pasożytniczego? 4

lokujące się pustych miejscach - znajdują w pliku miejsca, gdzie jest jakiś pusty obszar. Obszar ten wypełniony jest ciągiem zer i można go nadpisać nie niszcząc pliku

Jakie jest położenie wirusa pasożytniczego? 5

lokujące się w dowolnym miejscu pliku, Są bardzo rzadkie i trudne do napisania

Jakie jest położenie wirusa pasożytniczego? 6

wykorzystujące część ostatniego klastra - korzystają z faktu, iż plik rzadko zajmuje dokładnie wielokrotność jednego klastra

Co to wirusy wieloczęściowe?

Składają się z co najmniej dwóch współdziałających ze sobą części, Części wzajemnie kontrolują swoją obecność i rozmnażają się, Bardzo trudne do usunięcia – usunięcie jednej części przez antywirus zaraz jest "naprawiane" przez inną część

Co to Wirusy gnieżdżące się w sektorze rozruchowym twardego dysku?

Bardzo trudne do usunięcia – formatowanie dysku twardego nie pomaga. Konieczny jest program do przywracania oryginalnej postaci MBR'a

co to Wirusy towarzyszące

Tworzone niegdyś dla systemu DOS. Działa on na zasadzie: te same nazwy, inne roszerzenia. W dos gdy podamy nazwe programu a np. są 2 takie ale z innymi roszerzeniami, to najpierw uruchomi się COM, potem EXE i potem BAT.

co to Wirusy towarzyszące 2

Wykorzystują te właściwość i tworzą wirusy z roszerzeniem COM by otwierały się przed programem. (jeśli program ma com to nie będzie infekcji)

co to Wirusy plików wsadowych

Wykorzystują pliki BAT. Po uruchomieniu zainfekowanego pliku wsadowego tworzony jest plik uruchamialny EXE, który zawiera właściwy kod infekujący pliki BAT, Plik BAT jest następnie kasowany, a plik wykonywalny jest uruchamiany

co to Makrowirusy

Istnieją makra, które aplikacje Microsoft Office automatycznie uruchamiają przy otwarciu dokumentu, można je wyłączyć ale zmniejszysz funkcjonalność dokumentu. te wirusy Rozmnażają się przez wykonanie swojego kodu zapisanego w makrach

jaki jest Podział wirusów ze względu na działanie

Wirusy nierezydentne i rezydentne

Wirusy nierezydentne to?

Po uruchomieniu nosiciela wirus poszukuje obiektów, które może zarazić. Jeśli taki znajdzie, to kolejny jest infekowany, a potem sterowanie oddaje do nosiciela. łatwe do wykrycia, aktywność jest ograniczona, zarażają pliki tylko po uruchomieniu nosiciela

Wirusy rezydentne to?

Instalują się w pamięci operacyjnej komputera i ukrywają kod przed programami przeglądającymi pamięć, Jeżeli działają w trybie jądra (są przenoszone przez sterowniki), to mogą przejmować przerwania sprzętowe i manipulować urządzeniami.

Wirusy rezydentne w trybie ograniczonym co robią?

podszywają się pod usługi systemu

jaki jest Podział wirusów rezydentnych ze względu na szybkość infekowania

Szybkie Infektory - intensywnie się rozmnażają, aktywność łatwa do zauważenia, jeśli nie jest maskowana przez usługi systemowe, antywirusy mogą nie nadążyć z ich usuwaniem.

jaki jest Podział wirusów rezydentnych ze względu na szybkość infekowania 2

Powolne infektory - rozmnażają się powoli, infekują głównie pliki tworzone lub modyfikowane przez użytkownika, maskują swoją obecność

Jakie są Sposoby maskowania się wirusów?

technologia stealth, samomodyfikacja, szyfrowanie kluczem zmiennym, kod polimorficzny, kod metamorficzny

czym jest technologia stealth

Niektóre wirusy potrafią przejmować funkcję odczytu pliku i podawać dla antywirusa oryginalną, niezmodyfikowaną postać pliku, Jedyną obroną przed takimi wirusami jest uruchomienie systemu z czystego nośnika i wówczas uruchomienie antywirusa

czym jest samomodyfikacja

Większość antywirusów wykrywa wirusy przez tzw. sygnatury pozyskiwane z bazy danych wirusów, Sygnatura jest charakterystycznym ciągiem bajtów występującym w kodzie wirusa

czym jest samomodyfikacja 2

Niektóre wirusy zmieniają swój kod tak, aby nie tworzyły się charakterystyczne sygnatury

czym jest Szyfrowanie kluczem zmiennym

Wirus składa się z dwóch części: właściwej (zaszyfrowanej) i małego deszyfratora (części niezaszyfrowanej) który deszyfruje część właściwą i po umieszczeniu jej w innym pliku szyfruje innym kluczem, Wykrycie możliwe, ale tylko niezaszyfrowanej części