Энциклопедия компьютерных вирусов
Словарь терминов
Абсолютный сектор
см. Сектор
Атрибуты файла
Характеристики файла: системный файл, скрытый файл, файл, закрытый от записи (read-only) и т.д.
Вектор прерывания
Элемент таблицы векторов прерываний. Содержит адрес программы-обработчика прерывания.
Дизассемблер
Утилита, осуществляющая преобразование, обратное ассемблированию, т.е. переводящая машинные коды в язык ассемблера. Такие утилиты крайне необходимы не только при отладке программ (для чего они и создаются), но и при анализе вируса.
Дизассемблирование
Перевод машинных кодов какой-либо программы в ее представление на языке ассемблера.
Дистрибутив (дистрибутивные копии)
Копии программного продукта (или дискеты, содержащие эти копии), полностью совпадающие с оригиналом, входящим в комплект поставки этого продукта.
Заголовок EXE-файла
Часть EXE-файла,содержащая управляющую информацию. Располагается в начале EXE-файла и содержит информацию для системного загрузчика: длину загружаемого модуля, значения регистров, таблицу настройки адресов и др.
Кластер
Единица разбиения логического диска. Состоит из одного или нескольких подряд расположенных логических секторов диска. Длина кластера на флоппи-дисках обычно равна 1 или 2, на винчестере - 4 или 8.
Компаньон-вирусы (companion)
Вирусы, не изменяющие файлы. Алгоритм работы этих вирусов состоит в том, что они создают для EXE-файлов файлы-спутники, имеющие то же самое имя, но с расширением .COM, например, для файла XCOPY.EXE создается файл XCOPY.COM. Вирус записывается в COM-файл и никак не изменяет EXE-файл. При запуске такого файла DOS первым обнаружит и выполнит COM-файл, т.е. вирус, который затем запустит и EXE-файл.
Логический диск
Единица разбиения диска. Состоит из подряд расположенных физических секторов. Логический диск делится на Boot-сектор, секторы FAT, корневого каталога и области данных. Секторы, входящие в область данных, группируются в кластеры. Логическим дискам ставятся в соответствие заглавные символы (A:, B:, D: и т.д.). В пределах логического диска возможна логическая адресация к секторам.
Логический сектор
см. Сектор
Монитор (программа-монитор, блокировщик)
Резидентно находящаяся в оперативной памяти утилита, которая позволяет выявлять «подозрительные» действия пользовательских программ: изменение и переименование выполняемых программ (COM- и EXE-файлов), запись на диск по абсолютному адресу, форматирование диска и т.д. При обнаружении «подозрительной» функции программа-монитор либо выдает на экран сообщение, либо блокирует выполнение перехваченной функции, либо совершает другие специальные действия.
Нерезидентный
см. Резидентный
Полиморфик (полиморфик-вирус)
Вирусы, предпринимающие специальные меры для затруднения их поиска и анализа. Не имеют сигнатур, т.е. не содержат ни одного постоянного участка кода. В большинстве случаев два образца одного и того же «полиморфик»-вируса не будут иметь ни одного совпадения. Это достигается шифрованием основного тела вируса и модификациями программы-расшифровщика. См. «MtE», «Mutant», "Chameleon".
Прерывание, Interrupt
Сигнал, по которому процессор прерывает выполнение текущей последовательности команд и передает управление на программу-обработчик прерывания. Адрес программы-обработчика вычисляется по таблице векторов прерываний. Прерывание может быть инициировано либо программами пользователя при работе с дисками, экраном, принтером и т.д. (программные прерывания),либо внешними устройствами: клавиатурой, таймером (аппаратные прерывания).
Псевдосбойный кластер
Каждый кластер логического диска помечается в FAT как свободный, занятый или сбойный. Сбойным (плохим) считается кластер, который содержит один или несколько дефектных секторов. Такой кластер не используется DOS и невидим для нее. Псевдосбойным называется нормальный кластер (т.е. не имеющий дефектных секторов), но помеченный в FAT как сбойный. Выделить псевдосбойный кластер из на самом деле сбойных секторов можно несколько раз прочитав содержимое секторов кластера. Если при этом не произошло ошибки, то кластер псевдосбойный. Нормальные кластеры (т.е.
не имеющие дефектных секторов) помечаются как сбойные некоторыми вирусами, которые могут затем использовать пространство таких кластеров в своих целях.
Резидентный (TSR - Terminate and Stay Resident)
Запускаемые на выполнение программы делятся на резидентные и нерезидентные. Резидентная программа по окончании оставляет свой код или часть кода в оперативной памяти, при этом DOS резервирует необходимый для ее работы участок памяти. Затем резидентная программа работает параллельно другим программам, некоторые из резидентных программ могут быть выгружены из памяти. Доступ к резидентной программе осуществляется либо через подмену прерываний, либо непосредственной адресацией.
Нерезидентная программа при завершении не оставляет в памяти своего кода, а занимаемая ею память освобождается.
Сектор
Минимальная единица разбиения диска (т.е. минимальная адресуемая часть диска). Разбиение диска на секторы происходит при его форматировании. Различают физические (абсолютные) и логические секторы диска. Один и тот же сектор может рассматриваться как физический при обращении к нему функциями BIOS и как логический при обращении к нему при помощи прерываний DOS. Длина сектора обычно равна 512 байтам.
Стелс (Stealth)
«Стелс»-вирусы (вирусы-невидимки) представляют собой программы, которые перехватывают обращения DOS к пораженным файлам или секторам дисков и «подставляют» вместо себя незараженные участки информации. Кроме этого такие вирусы при обращении к файлам используют достаточно оригинальные алгоритмы, позволяющие «обманывать» резидентные антивирусные мониторы. К «стелс»-вирусам относятся вирусы «Frodo», «Fish#6», «Brain»
и некоторые другие.
Таблица векторов прерываний, Interrupt Table
Таблица значений адресов программ-обработчиков прерываний. Расположена в самых младших адресах (0000:0000 - 0000:03FF) и содержит 256 4-байтных адреса (векторы прерываний).
Таблица настройки адресов (ТНА)
см. EXE-файл
«Троянская» программа (компонента)
Программа или часть кода программы, совершающая деструктивные действия, т.е.
в зависимости от каких- либо условий уничтожающая информацию на дисках, «завешивающая» систему и т.д.
Файл
Единица организации логического диска. Файлы содержат информацию, содержащую какой-либо конкретный объект: программу, часть базы данных, тексты, прочие данные. К характеристикам файла относятся его длина (объем содержащейся в файле информации), атрибуты, время и дата последней модификации.
Вирусы-«черви» (worm)
Вирусы, которые распространяются в компьютерной сети и, так же как и вирусы-«спутники», не изменяют файлы или сектора на дисках. Они проникают в память компьютера из компьютерной сети, вычисляют сетевые адреса других компьютеров и рассылают по этим адресам свои копии. Такие вирусы иногда создают рабочие файлы на дисках системы, но могут вообще не обращаться к ресурсам компьютера (за исключением оперативной памяти). К счастью, в вычислительных сетях IBM-компьютеров такие вирусы пока не завелись.
Физический сектор
см. Сектор
Backup
Резервные копии программного обеспечения, баз данных, рабочих файлов и т.д. Создаются для восстановления информации в случае ее потери, например при сбое компьютера или при заражении вирусом.
BIOS (Basic Input-Output System)
Базовая система ввода-вывода. Часть программного обеспечения, входящего в состав компьютера. Отвечает за тестирование и начальную загрузку системы. Также поддерживает стандартный интерфейс с внешними устройствами (экраном, дисками, принтером и т.д.). Хранится в ПЗУ.
Boot-сектор (загрузочный сектор)
Первый сектор логического диска (на флоппи-дисках совпадает с первым физическим сектором). Содержит программу-загрузчик, отвечающую за запуск операционной системы.
COM-файл
Двоичный выполняемый файл, располагаемый при старте в одном сегменте и работающий в пределах этого сегмента. Программы, содержащиеся в COM-файлах (COM-программы) могут использовать и другие сегменты, но эти действия требуют специальных вычислений внутри самих программ. Поэтому все ссылки в COM-программах внутрисегментные и не требуют привязки к сегментному адресу.
DOS (Disk Operating System)
Операционная система. Загружается с диска и отвечает за интерфейс пользователя и программного обеспечения с логическими элементами дисков, оборудованием и т.д.
EXE-файл
Двоичный выполняемый файл, который может занимать в оперативной памяти один или несколько сегментов. При обращении к какому-либо сегменту EXE-программе требуется знать сегментный адрес этого сегмента. Для этого при загрузке EXE-файла в память DOS привязывает (настраивает) его к адресам памяти, т.е. помещает в необходимые ячейки соответствующие сегментные адреса. Настройка EXE-файла происходит по таблице настройки адресов. Таблица настройки адресов (ТНА) расположена в заголовке EXE-файла и содержит адреса, по которым происходит привязка EXE-программы к сегментным адресам памяти.
FAT (File Allocation Table)
Таблица распределения файлов. Состоит из последовательных секторов логического диска и содержит таблицу расположения файлов на этом диске. Размещается в секторах, следующих за Boot-сектором. Дополнительно информирует о свободных и сбойных секторах логического диска.
Intended
Название «Intended» носят программы, которые «выглядят» как вирусы, но таковыми не являются. Такие программы либо ищут файлы/сектора, пытаются поразить их, но заражения не происходит, либо заражают файлы/сектора при запуске «первой копии» вируса, однако «второе поколение» вируса неспособно размножаться. Такие программы часто являются неграмотно модифицированными либо не до конца отлаженными вирусами.
MBR (Master Boot Record)
Первый физический сектор диска. Обычно содержит небольшую программу-загрузчик и таблицу разбиения диска (Disk Partition Table). Программа-загрузчик анализирует Disk Partition Table, выделяет в ней активный логический диск, загружает в память Boot-сектор этого диска и передает на него управление.
MCB (Memory Control Block)
Оперативная память компьютера выделяется блоками при соответствующих запросах DOS или прикладных программ. Каждому такому блоку памяти предшествует его дескриптор (описатель) - MCB.
MCB состоит из одного параграфа (16 байт), в котором указываются характеристики соответствующего блока памяти (последний или средний блок, программа-хозяин блока) и его длина. В памяти MCB организованы в виде списка, состоящего из M-блоков (средних) и заканчивающихся Z-блоком (последним).
OVL-файл
Файл, содержащий выполняемые двоичные коды, используемые основной программой по мере необходимости. Часто оформлен в виде COM- или EXE-файла.
PSP (Program Segment Prefix)
Префикс программного сегмента. Расположен в начале участка памяти, выделяемого DOS под запускаемую программу. Создается операционной системой и содержит информацию о некоторых векторах прерываний, адресах системных полей и т.д.
SYS-файл
Файл, содержащий системный драйвер. Загружается в память при инициализации DOS после загрузки системы. Для запуска SYS-файла необходимо поместить соответствующую команду в файл CONFIG.SYS и перезагрузить компьютер.
