Где скрывается код вируса? (часть 2)
К сожалению, не все вирусы, которые используют конкатенированный код, могут быть обнаружены этим методом, так как некоторые достаточно интеллектуальны, чтобы скрыть истинный размер файла (заменяя исходный размер файла, как обсуждалось выше), когда программа просматривается на предмет заражения вирусом.
Вставляемый код
Чтобы скрывать их дополнительные байты, некоторые программы вирусов могут затаить себя внутри неиспользуемых блоков памяти, которые были распределены законным программам. Так как эти пустые области ограничены, код функций вируса должен быть ограничен также. Ввиду того, что этот метод ухода от обнаружения ограничивает размер кода и усложняет вирус, он не так популярен среди авторов вируса.
Переадресация и перехват
Более сложные программы вируса вставляют часть своего кода в область раздела диска и либо маскируют себя, как BAD плохую область диска, либо становятся скрытым файлом. Этот вставленный код прерывает обращения на центральный процессор (обычно через прерывания DOS), активизирует вирус и затем возвращает управление на центральный процессор. Такой код может быть длиной всего в два байта.
Часть таких программ может также быть резидентом в памяти. Вы даже не заметите эту небольшую задержку, причиной которой является перехват. Даже антивирусные программы типа Norton Utilities могут быть введены в заблуждение при проверке вирусных ловушек программных файлов. Disk Killer шифрует заголовок загрузочного дискового раздела, перехватывая прерывание чтения диска INT13, функция 2.