next up previous contents index
Next: A polimorf vírusok felismerése Up: A víruskeresők fejlődése Previous: Szekvenciakeresés

A lopakodó vírusok megjelenése

A következő lépcsőfok a lopakodó vírusok (pl. Frodo) megjelenése volt. A víruskeresőknek két választása volt, a jobbak mindkettőt használják ma is. Az első megoldás a vírus kicselezésével a valódi állomány- vagy szektortartalmat olvasni. Ennek megoldása nehézségekbe és kompatibilitási problémákba ütközhet. A második megoldás a memória ellenőrzése. Ha a kereső a memóriában vírust talál, akkor általában felszólítja a felhasználót, hogy boot-oljon vírusmentes rendszerlemezről, és futtassa onnan a programot.

A lopakodó vírusok felismerésének egy trükkös módja, mely ráadásul nem igényel vírusspecifikus ismereteket, az, hogy a fájlok és rendszerterületek tartalmát két különböző módon olvassuk be. Először is beolvassuk a hivatalos úton, melyet a memóriában levő lopakodó vírus meghamisít. Aztán beolvassuk ugyanezt az adatot egy olyan úton, melyet a vírus nem tud meghamisítani. Ha a két tartalom között különbség van, akkor aktív lopakodó vírussal van dolgunk. Akár azt is meg lehet kockáztatni, hogy a vírus által mutatott nem vírusos tartalmat visszaírjuk a vírust kikerülő módszerünkkel a lemezre. Természetesen ez nem olyan egyszerű a valóságban, mint amilyennek látszik. Nemcsak vírusok hamisíthatják meg a beolvasott adatokat, hanem például az 1024 sávosnál nagyobb winchesterek MBR-jébe telepített BIOS kiegészítések is. Ráadásul a vírus is kitalálhatja ellenünk azt, hogy nem mindig fertőtlenití az olvasott fertőzött programokat, így nem minden víruspéldányt tudunk eltávolítani.

Az előbbi módszer egy egyszerűbb változata az, amikor aktív lopakodó vírussal a memóriában betömörítjük a vírusos fájljainkat. A tömörítő az eredeti, vírusmentes tartalmat látja, és mivel a vírus nem tud belemászni a tömörített fájlokba, a tömörített fájl is vírusmentes lesz.


next up previous contents index
Next: A polimorf vírusok felismerése Up: A víruskeresők fejlődése Previous: Szekvenciakeresés
Nagy Ferenc Laszlo
1999-05-21