Как антивирус находит жертвы

TanaT (TanaT@hotmail.ru)

Спецвыпуск Xakep, номер #035, стр. 035-080-3

Монитор также неотъемлемая часть любого средства для борьбы с вирусами. С точки зрения программиста, монитор является высокоуровневой оберткой слоя, лежащего ниже, - сканера. Задача монитора постоянно находиться в памяти ПК и проверять все файлы, к которым обращается операционная система. Таким образом, монитор натравливает сканер на каждый объект, который привлек внимание пользователя или системы. Монитор избавляет пользователя от рутинной операции проверки всего нового на вирусы. Как говорили лет десять назад: "Принес дискету с улицы, будь добр, проверь ее". Сегодня на такие мелочи и отвлекаться не стоит.

Сканер и монитор - лучшие друзья. В английском языке их отличают друг от друга только с помощью слов "on-access" и "on-demand". Первое означает - "при обращении", второе - "по требованию". Как нетрудно догадаться, сканирование on-access - это монитор, а on-demand - стандартный сканер.

Кое-что о стелсах

Есть такие вирусы, которые зовутся стелсами. Вернее, даже не так, такие вирусы были. Почему были? Потому что сейчас эта технология почти не используется, но в свое время попортила немало крови.

Суть любого антивирусного средства - работа с файлами. Первое действие любого сканирования (да и многих других технологий) заключается в том, что антивирус обращается к файлу. Это можно делать двумя способами: попросить операционную систему сделать необходимые манипуляции с файлом иди обратиться самостоятельно через собственный драйвер.

Долгое время (примерно до 1997-1998 года) почти все антивирусы просто пользовались системными API для доступа к файлам. Кстати, системными API я здесь называю не только высокоуровневые API типа Win16/32/64 API, но и низкоуровневые системные прерывания. Технология стелс-вирусов заключается в том, что такой вредоносный код контролирует систему и всегда успевает подсунуть на проверку совсем другой, неинфицированный файл. Таким образом, вирус остается невидимым и для сканера, и для каких бы то ни было других антивирусных средств.

Но "добрые эксперты" и здесь наши выход из положения. Они вспомнили второй способ работы с файлами - обращение к диску непосредственно через драйвер дисковой подсистемы IOS (супервизор ввода-вывода - это альтернативный по сравнению с системными прерываниями способ получения данных о файле, для его реализации приходится использовать собственный драйвер). От такого удара стелс-вирусы не оправились до сих пор.