Диагностика, ремонт и защита

       

TSR (резидентные) вирусы DOS предусматривает



TSR (резидентные) вирусы

DOS предусматривает единственный способ создания ре­зидентных (TSR) модулей — при помощи функции KEEP (int21h или int27h). Многие файловые вирусы для маскиров­ки своего распространения используют другой способ, об­рабатывая системные области, управляющие распределени­ем памяти, выделяют для себя свободный участок памяти, помечают его как занятый и переписывают туда свою копию.

Некоторые вирусы внедряют свои TSR-копии в свободные участки памяти в таблице секторов прерываний, в рабочие об­ласти DOS, в память, отведенную под системные буферы.

Известны два способа проверки резидентным вирусом на­личия своей копии в памяти ПК:

• Первый заключается в том, что вирус вводит новую функцию некоторого прерывания, действие которой заключается в возврате значения «я здесь». При стар­те вирус обращается к ней и, если возвращенное зна­чение совпадает со значением «я здесь», то память ПК уже заражена и повторное заражение не производит­ся.

• При проверке вторым способом вирус просто скопи­рует память ПК.

Оба способа могут в той или иной мере сочетаться друг с другом.





Содержание раздела