آبجی
23rd February 2010, 10:43 PM
پيش از شروع بد نيست تا اين نکته را هم بدانيد که در حالت دسته بندی کلی تر می توان همه ويروسها را به دو نوع زير تقسيم بندی نمود:
ويروسهای با عملکرد مستقيم (Direct Action Viruses)
ويروسهای با عملکرد غير مستقيم يا ويروسهای مقيم در حافظه (Non Direct Action or Memory Resident Viruses)
لازم به ذکر است که ويروس ها می توانند همزمان خصوصيات هر دو دسته را نيز داشته باشند. ويروسهای مقيم در حافظه می توانند همه اعمال سيستم را زير نظر بگيرند و به محض اجرا شدن يک برنامه يا ساير دسترسی ها، برنامه های ديگر را آلوده نمايند.
ويروسها به دو روش کلی در حافظه مقيم می شوند:
با استفاده از وقفه ها
با استفاده از دستکاری زنجيره (Memory Control Block يا MCB) در حافظه
البته سيستم عامل ويندوز حالت در حافظه مقيم بودن ويروسها را که از جهاتی يک امتياز محسوب می شود، تقريبا از بين برده است، به همين دليل امروزه شاهد ظهور بسياری از ويروسهايی هستيم که علاوه بر مقيم بودن در حافظه، توانائی عملکرد مستقيم را نيز دارند!
ويروسهای باينری فايل:
يک ويروس فايلی خودش را به يک فايل برنامه (يا در اصطلاح ميزبان) ضميمه می نمايد و از تکنيکهای مختلفی برای آلوده ساختن فايل های اجرايی ديگر استفاده می کند. ويروسهای فايلی بر اساس بکار بردن اين تکنيکها به انواع مختلف تقسيم می شوند، مهمترين اين انواع به شرح زير می باشند:
ويروسهای رونويسی کننده (Overwriting Viruses):
ويروسهای رونويسی کننده خودشان را در ابتدای برنامه و مستقيما روی کدهای آن جايگزين می نمايند، بنابراين برنامه اصلی آسيب ديده و تبديل به يک ويروس می شود، پس وقتی تلاش می کنيم تا اين برنامه را اجرا نماييم نه تنها برنامه اجرا نمی شود بلکه ويروس فايلهای ديگری را نيز آلوده می نمايد. اين ويروسها را می توان به راحتی شناسايی و نابود کرد برای همين ميزان پراکندگی آنها بسيار ناچيز است.
ويروسهای همراه (Companion Viruses):
ويروسهای همراه ميزبانشان را مستقيما تغيير نمی دهند و بجای اين کار با ترفندهايی باعث می شوند تا سيستم عامل ويروس را به جای برنامه مورد نظر اجرا نمايد. گاهی اين کار با تغيير دادن نام فايل ميزبان به نامی ديگر و واگذاری نام آن برنامه به ويروس، انجام می شود.
در برخی مواقع هم ويروس، فايل EXE را از طريق توليد يک فايل COM به همان نام و در همان دايرکتوری، آلوده می نمايد. به اين ترتيب که سيستم عامل داس هميشه يک فايل COM هم نام با يک فايل EXE را ابتدا اجرا می نمايد.
ويروسهای پيوند دهنده (Link Viruses):
ويروسهای پيوند دهنده تغييراتی را در طرز کار سطح پائين (Low Level) سيستم فايل می دهند اين تغييرات موجب می شود که نام برنامه تا مدتها بجای پيوند (اشاره داشتن) به فايل برنامه به کپی ويروس پيوند داده شود. اين امکان نيز فراهم است تا نام همه برنامه ها به فايل ويروس اشاره داشته باشند.
ويروسهای ابتدا قرار گيرنده (Prepending Viruses):
اين ويروسها به سادگی کدشان را در بالای برنامه اصلی قرار می دهند، بنابراين در زمان اجرای برنامه ای که توسط ويروسهای ابتدا قرار گيرنده آلوده شده باشد، کد ويروس قبل از برنامه اصلی اجرا می گردد.
ويروسهای داخل شونده (Inserting Viruses):
ويروسهای داخل شونده خودشان را در ميان برنامه ميزبان کپی می نمايند. گاهی اوقات برنامه ها دارای فضاهای استفاده نشده ای هستند، اين ويروسها می توانند چنين فضاهايی را يافته و خودشان را در ميان آنها وارد نمايند.
اين ويروسها همچنين می توانند طوری طراحی شوند که قطعه بزرگی از برنامه ميزبان را به جای ديگری منتقل نموده و به سادگی از فضای خالی استفاده نمايند.
ويروسهای اضافه شونده (Appending Viruses):
اين ويروسها پرشی را در ابتدای فايل برنامه قرار می دهند، قسمت ابتدائی فايل برنامه اصلی را به انتهای آن جابجا می نمايند و خودشان را در بين قسمت انتهائی فايل برنامه اصلی و قسمت ابتدائی آن جايگزين می نمايند. بنابراين در زمان اجرای چنين برنامه ای، پرش، ويروس را فرا می خواند و ويروس اجرا می گردد، سپس ويروس قسمت ابتدائی فايل را به مکان اصلی اش باز می گرداند و اجازه اجرا شدن را به برنامه اصلی می دهد.
ويروسهای با عملکرد مستقيم (Direct Action Viruses)
ويروسهای با عملکرد غير مستقيم يا ويروسهای مقيم در حافظه (Non Direct Action or Memory Resident Viruses)
لازم به ذکر است که ويروس ها می توانند همزمان خصوصيات هر دو دسته را نيز داشته باشند. ويروسهای مقيم در حافظه می توانند همه اعمال سيستم را زير نظر بگيرند و به محض اجرا شدن يک برنامه يا ساير دسترسی ها، برنامه های ديگر را آلوده نمايند.
ويروسها به دو روش کلی در حافظه مقيم می شوند:
با استفاده از وقفه ها
با استفاده از دستکاری زنجيره (Memory Control Block يا MCB) در حافظه
البته سيستم عامل ويندوز حالت در حافظه مقيم بودن ويروسها را که از جهاتی يک امتياز محسوب می شود، تقريبا از بين برده است، به همين دليل امروزه شاهد ظهور بسياری از ويروسهايی هستيم که علاوه بر مقيم بودن در حافظه، توانائی عملکرد مستقيم را نيز دارند!
ويروسهای باينری فايل:
يک ويروس فايلی خودش را به يک فايل برنامه (يا در اصطلاح ميزبان) ضميمه می نمايد و از تکنيکهای مختلفی برای آلوده ساختن فايل های اجرايی ديگر استفاده می کند. ويروسهای فايلی بر اساس بکار بردن اين تکنيکها به انواع مختلف تقسيم می شوند، مهمترين اين انواع به شرح زير می باشند:
ويروسهای رونويسی کننده (Overwriting Viruses):
ويروسهای رونويسی کننده خودشان را در ابتدای برنامه و مستقيما روی کدهای آن جايگزين می نمايند، بنابراين برنامه اصلی آسيب ديده و تبديل به يک ويروس می شود، پس وقتی تلاش می کنيم تا اين برنامه را اجرا نماييم نه تنها برنامه اجرا نمی شود بلکه ويروس فايلهای ديگری را نيز آلوده می نمايد. اين ويروسها را می توان به راحتی شناسايی و نابود کرد برای همين ميزان پراکندگی آنها بسيار ناچيز است.
ويروسهای همراه (Companion Viruses):
ويروسهای همراه ميزبانشان را مستقيما تغيير نمی دهند و بجای اين کار با ترفندهايی باعث می شوند تا سيستم عامل ويروس را به جای برنامه مورد نظر اجرا نمايد. گاهی اين کار با تغيير دادن نام فايل ميزبان به نامی ديگر و واگذاری نام آن برنامه به ويروس، انجام می شود.
در برخی مواقع هم ويروس، فايل EXE را از طريق توليد يک فايل COM به همان نام و در همان دايرکتوری، آلوده می نمايد. به اين ترتيب که سيستم عامل داس هميشه يک فايل COM هم نام با يک فايل EXE را ابتدا اجرا می نمايد.
ويروسهای پيوند دهنده (Link Viruses):
ويروسهای پيوند دهنده تغييراتی را در طرز کار سطح پائين (Low Level) سيستم فايل می دهند اين تغييرات موجب می شود که نام برنامه تا مدتها بجای پيوند (اشاره داشتن) به فايل برنامه به کپی ويروس پيوند داده شود. اين امکان نيز فراهم است تا نام همه برنامه ها به فايل ويروس اشاره داشته باشند.
ويروسهای ابتدا قرار گيرنده (Prepending Viruses):
اين ويروسها به سادگی کدشان را در بالای برنامه اصلی قرار می دهند، بنابراين در زمان اجرای برنامه ای که توسط ويروسهای ابتدا قرار گيرنده آلوده شده باشد، کد ويروس قبل از برنامه اصلی اجرا می گردد.
ويروسهای داخل شونده (Inserting Viruses):
ويروسهای داخل شونده خودشان را در ميان برنامه ميزبان کپی می نمايند. گاهی اوقات برنامه ها دارای فضاهای استفاده نشده ای هستند، اين ويروسها می توانند چنين فضاهايی را يافته و خودشان را در ميان آنها وارد نمايند.
اين ويروسها همچنين می توانند طوری طراحی شوند که قطعه بزرگی از برنامه ميزبان را به جای ديگری منتقل نموده و به سادگی از فضای خالی استفاده نمايند.
ويروسهای اضافه شونده (Appending Viruses):
اين ويروسها پرشی را در ابتدای فايل برنامه قرار می دهند، قسمت ابتدائی فايل برنامه اصلی را به انتهای آن جابجا می نمايند و خودشان را در بين قسمت انتهائی فايل برنامه اصلی و قسمت ابتدائی آن جايگزين می نمايند. بنابراين در زمان اجرای چنين برنامه ای، پرش، ويروس را فرا می خواند و ويروس اجرا می گردد، سپس ويروس قسمت ابتدائی فايل را به مکان اصلی اش باز می گرداند و اجازه اجرا شدن را به برنامه اصلی می دهد.