2015-05-18
370
Для того чтобы оставить выполняемый код в памяти Windows, существуют три способа, которые (за исключением Windows NT) уже применялись различными вирусами.
Самый простой способ — зарегистрировать программу как одно из приложений, работающих в данный момент. Для этого программа регистрирует свою задачу, окно которой может быть свернутым, регистрирует свой обработчик системных событий и т. д. Второй способ — выделить блок системной памяти при помощи DPMI-вызовов и скопировать в нем свой код (вирус Ph33r). Третий способ — остаться резидентно как VxD-драйвер (Wnidows З.хх и Windows95) или как драйвер Windows NT.
Перехват обращений к файлам производится одним из двух способов: либо перехватываются вызовы INT 21h (Hook_V86_Int_Chain,Get/Set_V86_Int_Vector, Get/Set_PM_Int_Vector), либо перехватывается системный вызов API. Затем резидентные Windows-вирусы действуют примерно так же, как и DOS-вирусы: перехватывают обращения к файлам и заражают их.
Для обнаружения уже имеющейся в памяти резидентной копии используются примерно те же способы, что описаны выше, за исключением VxD-вирусов. Известные VxD-вирусы загружаются в память при загрузке Windows. Для этого они записывают команду запуска в файл конфигурации Windows SYSTEM. INI. Если в этом файле уже есть команда запуска вирусного VxD-файла, то вирус не производит повторной регистрации своего VxD-файла.
