Вирусы не сохраняющие оригинальных загрузчиковДействия, выполняемые стандартными загрузочными программами, весьма просты и однообразны: минимально протестировать логическую структуру диска на корректность, прочитать в память фрагмент стартового файла операционной системы и передать ему управление. Поэтому некоторая часть вирусов не сохраняет оригинальных загрузочных секторов вообще, самостоятельно выполняя их функции. В качестве примера рассмотрим фрагмент листинга вируса AntiCMOS, который лишь сохраняет внутри себя Partition Table, самостоятельно сканирует ее и загружает в память boot-сектор активного раздела винчестера: Сравните приведенные фрагменты с полными листингами MBR винчестера и boot-сектора дискеты. Легко видеть, что стандартные загрузчики написаны более «надежно». В частности, стандартный код MBR одновременно со сканированием таблицы разделов проверяет ее на корректность. Если эта таблица по какой-либо причине разрушена, то стандартный загрузчик выдаст предупреждающее сообщение, а вирус AntiCMOS просто зациклится. Кроме того, вы ни при каких условиях не сможете загрузить операционную систему с дискеты, зараженной вирусом Strike. Ведь вирус просто не умеет этого делать! Тем не менее в 99% случаев эти вирусы поступают точно так же, как поступили бы на их месте стандартные загрузчики, и благодаря этому пользователь не замечает подмены. Если вы хотите автоматизировать процесс лечения и написать собственную антивирусную программу, то поиск вируса по сигнатуре в секторах и в памяти нужно выполнять в точности так же, как мы это делали для вируса Stoned. AntiEXE. Для «лечения» MBR потребуется иметь внутри программы содержимое стандартного загрузочного сектора винчестера. Необходимо перенести внутрь него из вируса 64 байта таблицы разделов, а потом записать полученный код на свое законное место — в сектор {0,0,1} жесткого диска. Точно так же для «исцеления» дискеты надо иметь содержимое стандартного boot-сектора, в которое нужно перенести из вируса таблицу параметров дискеты, и все вместе это поместить в стартовый сектор гибкого диска.

Еще интересные статьи :

Вирусы не сохраняющие оригинальных загрузчиков
Вирусы не сохраняющие оригинальных загрузчиков
Вирусы не сохраняющие оригинальных загрузчиков
Вирусы не сохраняющие оригинальных загрузчиков