Словарь терминов
Словарь терминов
Абсолютный сектор - см. сектор.
Атрибуты файла - характеристики файла: системный файл (system), скрытый файл (hidden), закрытый от записи (read-only) и т. д.
Вектор прерывания - элемент таблицы векторов прерываний. Содержит адрес программы-обработчика прерывания.
Дизассемблер - утилита, осуществляющая преобразование, обратное ассемблированию, то есть переводящая машинные коды в язык ассемблера. Такие утилиты крайне необходимы не только при отладке программ (для чего они и создаются), но и при анализе вируса.
Дизассемблирование - перевод машинных кодов какой-либо программы в ее представление на языке ассемблера.
Дистрибутив (дистрибутивные копии) - копии программного продукта (или дискеты, содержащие эти копии), полностью совпадающие с оригиналом, входящим в комплект поставки этого продукта.
Заголовок EXE-файла - часть EXE-файла, содержащая управляющую информацию. Располагается в начале EXE-файла и содержит информацию для системного загрузчика: длину загружаемого модуля, значения регистров, таблицу настройки адресов и др.
Кластер - единица разбиения логического диска. Состоит из одного или нескольких подряд расположенных логических секторов диска. Длина кластера на флоппи-дисках обычно равна 1 или 2, на винчестере - 4 или 8 секторам.
Компаньон-вирусы (companion) - вирусы, не изменяющие файлы. Алгоритм работы этих вирусов состоит в том, что они создают для EXE-файлов файлы-спутники, имеющие то же самое имя, но с расширением COM. Например, для файла XCOPY.EXE создается файл XCOPY.COM. Вирус записывается в COM-файл и никак не изменяет EXE-файл. При запуске такого файла DOS первым обнаружит и выполнит COM-файл, то есть вирус, который затем запустит и EXE-файл.
Логический диск - единица разбиения жесткого диска. Состоит из подряд расположенных физических секторов. Логический диск делится на Boot-сектор, секторы FAT, корневого каталога и области данных. Секторы, входящие в область данных, группируются в кластеры. Логическим дискам ставятся в соответствие заглавные символы (A:, B:, D: и т. д.). В пределах логического диска возможна логическая адресация к секторам.
Логический сектор - см. сектор.
Монитор (программа-монитор, блокировщик) - резидентно находящаяся в оперативной памяти утилита, которая позволяет выявлять подозрительные действия пользовательских программ: изменение и переименование выполняемых программ (COM- и EXE-файлов), запись на диск по абсолютному адресу, форматирование диска и т. д. При обнаружении подозрительной функции программа-монитор либо выдает на экран сообщение, либо блокирует выполнение перехваченной функции, либо совершает другие специальные действия.
Нерезидентный - см. резидентный.
Полиморфик (полиморфик-вирус) - вирусы, предпринимающие специальные меры для затруднения их поиска и анализа. Не имеют сигнатур, то есть не содержат ни одного постоянного участка кода. В большинстве случаев два образца одного и того же полиморфик-вируса не будут иметь ни одного совпадения. Это достигается шифрованием основного тела вируса и модификациями программы-расшифровщика. К таким вирусам относятся MtE, Mutant, Chameleon.
Прерывание, Interrupt - сигнал, по которому процессор прерывает выполнение текущей последовательности команд и передает управление на программу-обработчик прерывания. Адрес программы-обработчика в памяти вычисляется по таблице векторов прерываний. Прерывание может быть инициировано либо программами пользователя при работе с дисками, экраном, принтером и т. д. (программные прерывания), либо внешними устройствами: клавиатурой, таймером (аппаратные прерывания).
Псевдосбойный кластер - каждый кластер логического диска помечается в FAT как свободный, занятый или сбойный. Сбойным (плохим) считается кластер, который содержит один или несколько дефектных секторов. Такой кластер не используется DOS и невидим для нее. Псевдосбойным называется нормальный кластер (то есть не имеющий дефектных секторов), но помеченный в FAT как сбойный. Выделить псевдосбойный кластер из действительно сбойных секторов можно, несколько раз прочитав содержимое секторов кластера. Если при этом не произошло ошибки, то кластер псевдосбойный. Нормальные кластеры (также не имеющие дефектных секторов) помечаются как сбойные некоторыми вирусами, которые могут затем использовать пространство этих кластеров в своих целях.
Резидентный (TSR - Terminate and Stay Resident) - запускаемые на выполнение программы делятся на резидентные и нерезидентные. Резидентная программа по завершении оставляет весь свой код или его часть в оперативной памяти, при этом DOS резервирует необходимый для ее работы участок. Затем резидентная программа работает параллельно с другими программами. Некоторые из резидентных программ могут быть выгружены из памяти. Доступ к резидентной программе осуществляется либо через подмену прерываний, либо непосредственной адресацией. Нерезидентная программа при завершении не оставляет в памяти своего кода, а занимаемая ею память освобождается системой.
Сектор - минимальная единица разбиения диска (то есть минимальная адресуемая часть диска). Разбиение диска на секторы происходит при его форматировании. Различают физические (абсолютные) и логические секторы диска. Один и тот же сектор может рассматриваться как физический при обращении к нему функциями BIOS и как логический при обращении к нему при помощи прерываний DOS. Длина сектора обычно равна 512 байтам.
Стелс (Stealth) - стелс-вирусы (вирусы-невидимки) представляют собой программы, которые перехватывают обращения DOS к пораженным файлам или секторам дисков и подставляют вместо себя незараженные участки информации. Кроме этого такие вирусы при обращении к файлам используют достаточно оригинальные алгоритмы, позволяющие обманывать резидентные антивирусные мониторы. К стелс-вирусам относятся вирусы Frodo, Fish6, Brain и некоторые другие.
Таблица векторов прерываний, Interrupt Table - таблица значений адресов программ-обработчиков прерываний. Расположена в самых младших адресах оперативной памяти (0000:0000 - 0000:03FF) и содержит 256 четырехбайтных адресов (векторов прерываний).
Таблица настройки адресов (ТНА) - см. EXE-файл.
Троянская программа (компонента) - программа или часть кода программы, совершающая деструктивные действия, то есть в зависимости от каких-либо условий уничтожающая информацию на дисках, "завешивающая" систему и т. д.
Файл - единица организации хранения данных на логическом диске. Файлы содержат информацию, относящуюся к какому-либо конкретному объекту: программу, часть базы данных, тексты, прочие данные. К основным характеристикам файла относятся его длина (объем содержащейся в файле информации), атрибуты, время и дата последней модификации.
Вирусы-черви (worm) - вирусы, которые распространяются в компьютерной сети и, так же как и вирусы-спутники, не изменяют файлы или секторы на дисках. Они проникают в память компьютера из сети, вычисляют сетевые адреса других компьютеров и рассылают по этим адресам свои копии. Такие вирусы иногда создают рабочие файлы на дисках системы, но могут вообще не обращаться к ресурсам компьютера (за исключением оперативной памяти). К счастью, в вычислительных сетях IBM-совместимых компьютеров такие вирусы пока не завелись.
Физический сектор - см. сектор.
Backup - резервные копии программного обеспечения, баз данных, рабочих файлов и т. д. Создаются для восстановления информации в случае ее потери, например при аппаратном сбое компьютера или при заражении вирусом.
BIOS (Basic Input-Output System) - базовая система ввода-вывода. Часть программного обеспечения, входящего в состав компьютера. Отвечает за тестирование и начальную загрузку системы. Также поддерживает стандартный интерфейс с внешними устройствами (экраном, дисками, принтером и т. д.). Хранится в микросхемах постоянной памяти.
Boot-сектор (загрузочный сектор) - первый сектор логического диска (на флоппи-дисках совпадает с первым физическим сектором). Содержит программу-загрузчик, отвечающую за запуск операционной системы.
COM-файл - двоичный выполняемый файл, размещаемый при старте в одном сегменте памяти и работающий в пределах этого сегмента. Программы, содержащиеся в COM-файлах (COM-программы), могут использовать и другие сегменты, но эти действия требуют специальных вычислений внутри самих программ. Поэтому все ссылки в COM-программах внутрисегментные и не требуют привязки к сегментному адресу.
DOS (Disk Operating System) - дисковая операционная система. Загружается с диска и отвечает за интерфейс пользователя и программного обеспечения с логическими элементами дисков, оборудованием и т. д.
EXE-файл - двоичный выполняемый файл, который может занимать в оперативной памяти один или несколько сегментов. При обращении к какому-либо сегменту EXE-программе требуется знать его сегментный адрес. Для этого при загрузке EXE-файла в память DOS привязывает (настраивает) его к адресам памяти, то есть помещает в необходимые ячейки соответствующие сегментные адреса. Настройка EXE-файла происходит по таблице настройки адресов. Таблица настройки адресов (ТНА) расположена в заголовке EXE-файла и содержит адреса, по которым происходит привязка EXE-программы к сегментным адресам памяти.
FAT (File Allocation Table) - таблица распределения файлов. Состоит из последовательных секторов логического диска и содержит таблицу расположения файлов на нем. Размещается в секторах, следующих за Boot-сектором. Дополнительно информирует систему о свободных и сбойных секторах логического диска.
Intended - название Intended носят программы, которые выглядят как вирусы, но таковыми не являются. Такие программы либо ищут файлы или секторы, пытаются поразить их, но заражения не происходит, либо заражают файлы или сектора при запуске первой копии вируса, однако получившееся второе поколение вируса неспособно размножаться. Такие программы часто являются неграмотно модифицированными либо не до конца отлаженными вирусами.
MBR (Master Boot Record) - первый физический сектор диска. Обычно содержит небольшую программу-загрузчик и таблицу разбиения диска (Disk Partition Table). Программа-загрузчик анализирует Disk Partition Table, выделяет в ней активный логический диск, загружает в память Boot-сектор этого диска и передает на него управление.
MCB (Memory Control Block) - оперативная память компьютера выделяется блоками при соответствующих запросах DOS или прикладных программ. Каждому такому блоку памяти предшествует его дескриптор (описатель) - MCB. MCB состоит из одного параграфа (16 байт), в котором указываются характеристики соответствующего блока памяти (последний или средний блок, программа-хозяин блока) и его длина. В памяти MCB организованы в виде списка, состоящего из M-блоков (средних) и заканчивающихся Z-блоком (последним).
OVL-файл - оверлейный файл, содержащий выполняемые двоичные коды, используемые основной программой по мере необходимости. Часто бывает оформлен в виде COM- или EXE-файла.
PSP (Program Segment Prefix) - префикс программного сегмента. Расположен в начале участка памяти, выделяемого DOS под запускаемую программу. Создается операционной системой и содержит информацию о некоторых векторах прерываний, адресах системных полей и т. д.
SYS-файл - файл, содержащий системный драйвер. Загружается в память при инициализации DOS после загрузки системы. Для запуска SYS-файла необходимо поместить соответствующую команду в файл CONFIG. SYS и перезагрузить компьютер.
компьютерная газета
Абсолютный сектор - см. сектор.
Атрибуты файла - характеристики файла: системный файл (system), скрытый файл (hidden), закрытый от записи (read-only) и т. д.
Вектор прерывания - элемент таблицы векторов прерываний. Содержит адрес программы-обработчика прерывания.
Дизассемблер - утилита, осуществляющая преобразование, обратное ассемблированию, то есть переводящая машинные коды в язык ассемблера. Такие утилиты крайне необходимы не только при отладке программ (для чего они и создаются), но и при анализе вируса.
Дизассемблирование - перевод машинных кодов какой-либо программы в ее представление на языке ассемблера.
Дистрибутив (дистрибутивные копии) - копии программного продукта (или дискеты, содержащие эти копии), полностью совпадающие с оригиналом, входящим в комплект поставки этого продукта.
Заголовок EXE-файла - часть EXE-файла, содержащая управляющую информацию. Располагается в начале EXE-файла и содержит информацию для системного загрузчика: длину загружаемого модуля, значения регистров, таблицу настройки адресов и др.
Кластер - единица разбиения логического диска. Состоит из одного или нескольких подряд расположенных логических секторов диска. Длина кластера на флоппи-дисках обычно равна 1 или 2, на винчестере - 4 или 8 секторам.
Компаньон-вирусы (companion) - вирусы, не изменяющие файлы. Алгоритм работы этих вирусов состоит в том, что они создают для EXE-файлов файлы-спутники, имеющие то же самое имя, но с расширением COM. Например, для файла XCOPY.EXE создается файл XCOPY.COM. Вирус записывается в COM-файл и никак не изменяет EXE-файл. При запуске такого файла DOS первым обнаружит и выполнит COM-файл, то есть вирус, который затем запустит и EXE-файл.
Логический диск - единица разбиения жесткого диска. Состоит из подряд расположенных физических секторов. Логический диск делится на Boot-сектор, секторы FAT, корневого каталога и области данных. Секторы, входящие в область данных, группируются в кластеры. Логическим дискам ставятся в соответствие заглавные символы (A:, B:, D: и т. д.). В пределах логического диска возможна логическая адресация к секторам.
Логический сектор - см. сектор.
Монитор (программа-монитор, блокировщик) - резидентно находящаяся в оперативной памяти утилита, которая позволяет выявлять подозрительные действия пользовательских программ: изменение и переименование выполняемых программ (COM- и EXE-файлов), запись на диск по абсолютному адресу, форматирование диска и т. д. При обнаружении подозрительной функции программа-монитор либо выдает на экран сообщение, либо блокирует выполнение перехваченной функции, либо совершает другие специальные действия.
Нерезидентный - см. резидентный.
Полиморфик (полиморфик-вирус) - вирусы, предпринимающие специальные меры для затруднения их поиска и анализа. Не имеют сигнатур, то есть не содержат ни одного постоянного участка кода. В большинстве случаев два образца одного и того же полиморфик-вируса не будут иметь ни одного совпадения. Это достигается шифрованием основного тела вируса и модификациями программы-расшифровщика. К таким вирусам относятся MtE, Mutant, Chameleon.
Прерывание, Interrupt - сигнал, по которому процессор прерывает выполнение текущей последовательности команд и передает управление на программу-обработчик прерывания. Адрес программы-обработчика в памяти вычисляется по таблице векторов прерываний. Прерывание может быть инициировано либо программами пользователя при работе с дисками, экраном, принтером и т. д. (программные прерывания), либо внешними устройствами: клавиатурой, таймером (аппаратные прерывания).
Псевдосбойный кластер - каждый кластер логического диска помечается в FAT как свободный, занятый или сбойный. Сбойным (плохим) считается кластер, который содержит один или несколько дефектных секторов. Такой кластер не используется DOS и невидим для нее. Псевдосбойным называется нормальный кластер (то есть не имеющий дефектных секторов), но помеченный в FAT как сбойный. Выделить псевдосбойный кластер из действительно сбойных секторов можно, несколько раз прочитав содержимое секторов кластера. Если при этом не произошло ошибки, то кластер псевдосбойный. Нормальные кластеры (также не имеющие дефектных секторов) помечаются как сбойные некоторыми вирусами, которые могут затем использовать пространство этих кластеров в своих целях.
Резидентный (TSR - Terminate and Stay Resident) - запускаемые на выполнение программы делятся на резидентные и нерезидентные. Резидентная программа по завершении оставляет весь свой код или его часть в оперативной памяти, при этом DOS резервирует необходимый для ее работы участок. Затем резидентная программа работает параллельно с другими программами. Некоторые из резидентных программ могут быть выгружены из памяти. Доступ к резидентной программе осуществляется либо через подмену прерываний, либо непосредственной адресацией. Нерезидентная программа при завершении не оставляет в памяти своего кода, а занимаемая ею память освобождается системой.
Сектор - минимальная единица разбиения диска (то есть минимальная адресуемая часть диска). Разбиение диска на секторы происходит при его форматировании. Различают физические (абсолютные) и логические секторы диска. Один и тот же сектор может рассматриваться как физический при обращении к нему функциями BIOS и как логический при обращении к нему при помощи прерываний DOS. Длина сектора обычно равна 512 байтам.
Стелс (Stealth) - стелс-вирусы (вирусы-невидимки) представляют собой программы, которые перехватывают обращения DOS к пораженным файлам или секторам дисков и подставляют вместо себя незараженные участки информации. Кроме этого такие вирусы при обращении к файлам используют достаточно оригинальные алгоритмы, позволяющие обманывать резидентные антивирусные мониторы. К стелс-вирусам относятся вирусы Frodo, Fish6, Brain и некоторые другие.
Таблица векторов прерываний, Interrupt Table - таблица значений адресов программ-обработчиков прерываний. Расположена в самых младших адресах оперативной памяти (0000:0000 - 0000:03FF) и содержит 256 четырехбайтных адресов (векторов прерываний).
Таблица настройки адресов (ТНА) - см. EXE-файл.
Троянская программа (компонента) - программа или часть кода программы, совершающая деструктивные действия, то есть в зависимости от каких-либо условий уничтожающая информацию на дисках, "завешивающая" систему и т. д.
Файл - единица организации хранения данных на логическом диске. Файлы содержат информацию, относящуюся к какому-либо конкретному объекту: программу, часть базы данных, тексты, прочие данные. К основным характеристикам файла относятся его длина (объем содержащейся в файле информации), атрибуты, время и дата последней модификации.
Вирусы-черви (worm) - вирусы, которые распространяются в компьютерной сети и, так же как и вирусы-спутники, не изменяют файлы или секторы на дисках. Они проникают в память компьютера из сети, вычисляют сетевые адреса других компьютеров и рассылают по этим адресам свои копии. Такие вирусы иногда создают рабочие файлы на дисках системы, но могут вообще не обращаться к ресурсам компьютера (за исключением оперативной памяти). К счастью, в вычислительных сетях IBM-совместимых компьютеров такие вирусы пока не завелись.
Физический сектор - см. сектор.
Backup - резервные копии программного обеспечения, баз данных, рабочих файлов и т. д. Создаются для восстановления информации в случае ее потери, например при аппаратном сбое компьютера или при заражении вирусом.
BIOS (Basic Input-Output System) - базовая система ввода-вывода. Часть программного обеспечения, входящего в состав компьютера. Отвечает за тестирование и начальную загрузку системы. Также поддерживает стандартный интерфейс с внешними устройствами (экраном, дисками, принтером и т. д.). Хранится в микросхемах постоянной памяти.
Boot-сектор (загрузочный сектор) - первый сектор логического диска (на флоппи-дисках совпадает с первым физическим сектором). Содержит программу-загрузчик, отвечающую за запуск операционной системы.
COM-файл - двоичный выполняемый файл, размещаемый при старте в одном сегменте памяти и работающий в пределах этого сегмента. Программы, содержащиеся в COM-файлах (COM-программы), могут использовать и другие сегменты, но эти действия требуют специальных вычислений внутри самих программ. Поэтому все ссылки в COM-программах внутрисегментные и не требуют привязки к сегментному адресу.
DOS (Disk Operating System) - дисковая операционная система. Загружается с диска и отвечает за интерфейс пользователя и программного обеспечения с логическими элементами дисков, оборудованием и т. д.
EXE-файл - двоичный выполняемый файл, который может занимать в оперативной памяти один или несколько сегментов. При обращении к какому-либо сегменту EXE-программе требуется знать его сегментный адрес. Для этого при загрузке EXE-файла в память DOS привязывает (настраивает) его к адресам памяти, то есть помещает в необходимые ячейки соответствующие сегментные адреса. Настройка EXE-файла происходит по таблице настройки адресов. Таблица настройки адресов (ТНА) расположена в заголовке EXE-файла и содержит адреса, по которым происходит привязка EXE-программы к сегментным адресам памяти.
FAT (File Allocation Table) - таблица распределения файлов. Состоит из последовательных секторов логического диска и содержит таблицу расположения файлов на нем. Размещается в секторах, следующих за Boot-сектором. Дополнительно информирует систему о свободных и сбойных секторах логического диска.
Intended - название Intended носят программы, которые выглядят как вирусы, но таковыми не являются. Такие программы либо ищут файлы или секторы, пытаются поразить их, но заражения не происходит, либо заражают файлы или сектора при запуске первой копии вируса, однако получившееся второе поколение вируса неспособно размножаться. Такие программы часто являются неграмотно модифицированными либо не до конца отлаженными вирусами.
MBR (Master Boot Record) - первый физический сектор диска. Обычно содержит небольшую программу-загрузчик и таблицу разбиения диска (Disk Partition Table). Программа-загрузчик анализирует Disk Partition Table, выделяет в ней активный логический диск, загружает в память Boot-сектор этого диска и передает на него управление.
MCB (Memory Control Block) - оперативная память компьютера выделяется блоками при соответствующих запросах DOS или прикладных программ. Каждому такому блоку памяти предшествует его дескриптор (описатель) - MCB. MCB состоит из одного параграфа (16 байт), в котором указываются характеристики соответствующего блока памяти (последний или средний блок, программа-хозяин блока) и его длина. В памяти MCB организованы в виде списка, состоящего из M-блоков (средних) и заканчивающихся Z-блоком (последним).
OVL-файл - оверлейный файл, содержащий выполняемые двоичные коды, используемые основной программой по мере необходимости. Часто бывает оформлен в виде COM- или EXE-файла.
PSP (Program Segment Prefix) - префикс программного сегмента. Расположен в начале участка памяти, выделяемого DOS под запускаемую программу. Создается операционной системой и содержит информацию о некоторых векторах прерываний, адресах системных полей и т. д.
SYS-файл - файл, содержащий системный драйвер. Загружается в память при инициализации DOS после загрузки системы. Для запуска SYS-файла необходимо поместить соответствующую команду в файл CONFIG. SYS и перезагрузить компьютер.
компьютерная газета
Компьютерная газета. Статья была опубликована в номере 01 за 1998 год в рубрике безопасность :: вирусология