Главная » Статьи » О Безоапсности |
Борьба
с вредоносными программами осложнена не только тем, что их
необходимо обнаружить, но и тем, что после обнаружения необходимо
провести корректное лечение найденного вредоносного кода и его модулей.
Детектируемые объекты совершенно не желают быть обнаруженными и
уничтоженными, поэтому они активно сопротивляются лечению. Мешать
антивирусному продукту можно различными способами. Можно
использовать руткит-технологии для предотвращения обнаружения и
удаления, а можно следить за своими компонентами и, в случае удаления,
восстанавливать их. Рассмотрим те, которые восстанавливают компоненты в
случае их лечения антивирусным продуктом. Некоторые из способов,
которые используются в современных вредоносных программах под Windows:
Вышеперечисленные способы - основные, однако, вариаций существует намного больше. 15 мая мы представили статью о вредоносной программе, вернее ее новой модификации, носящей кодовое название 'буткит'. В бутките используется метод заражения загрузочной записи диска, но не обошлось и без использования способа восстановления MBR в случае лечения его антивирусным продуктом. Авторы данного руткита подошли к вопросу о перепроверке MBR с интересной стороны. На ранней стадии загрузки операционной системы запускается поток в режиме ядра, который в цикле проверяет наличие в памяти системного процесса explorer.exe и ожидает его завершения. После инициации перезагрузки операционная система завершает все процессы, в том числе и explorer.exe. Схематично этот код выглядит так: NTSTATUS InitThreadWithExplorer(...) Функция CallOnReboot сравнивает текущий MBR с эталоном (зараженной загрузочной записью). Делается это для того, чтобы на момент перезагрузки системы восстановить вылеченную антивирусом загрузочную запись: NTSTATUS CallOnReboot(...) Для борьбы с таким вредоносным кодом каждый раз приходится придумывать что-нибудь оригинальное, но мы не унываем и продолжаем вас защищать. | |
Просмотров: 533 | | |
Всего комментариев: 0 | |