Словарь терминов
В данной части бюллетеня использована информация Лаборатории Касперского (http:// www.avp.ru) - самой известной и популярной российской компании, выпускающей антивирусное программное обеспечение. Словарь терминов
(c) Компьютерная газета
Абсолютный сектор см. Сектор
Атрибуты файла Характеристики файла: системный файл, скрытый файл, файл, закрытый от записи (read-only) и т.д.
Вектор прерывания Элемент таблицы векторов прерываний. Содержит адрес программы-обработчика прерывания.
Дизассемблер Утилита, осуществляющая преобразование, обратное ассемблированию, т.е. переводящая машинные коды в язык ассемблера. Такие утилиты крайне необходимы не только при отладке программ (для чего они и создаются), но и при анализе вируса.
Дизассемблирование Перевод машинных кодов какой-либо программы в ее представление на языке ассемблера.
Дистрибутив (дистрибутивные копии) Копии программного продукта (или дискеты, содержащие эти копии), полностью совпадающие с оригиналом, входящим в комплект поставки этого продукта.
Заголовок EXE-файла Часть EXE-файла,содержащая управляющую информацию. Располагается в начале EXE-файла и содержит информацию для системного загрузчика: длину загружаемого модуля, значения регистров, таблицу настройки адресов и др.
Кластер Единица разбиения логического диска. Состоит из одного или нескольких подряд расположенных логических секторов диска. Длина кластера на флоппи-дисках обычно равна 1 или 2, на винчестере - 4 или 8.
Компаньон-вирусы (companion) Вирусы, не изменяющие файлы. Алгоритм работы этих вирусов состоит в том, что они создают для EXE-файлов файлы-спутники, имеющие то же самое имя, но с расширением.COM, например, для файла XCOPY.EXE создается файл XCOPY.COM. Вирус записывается в COM-файл и никак не изменяет EXE-файл. При запуске такого файла DOS первым обнаружит и выполнит COM-файл, т.е. вирус, который затем запустит и EXE-файл.
Логический диск Единица разбиения диска. Состоит из подряд расположенных физических секторов. Логический диск делится на Boot-сектор, секторы FAT, корневого каталога и области данных. Секторы, входящие в область данных, группируются в кластеры. Логическим дискам ставятся в соответствие заглавные символы (A:, B:, D: и т.д.). В пределах логического диска возможна логическая адресация к секторам.
Логический сектор см. Сектор
Монитор (программа-монитор, блокировщик) Резидентно находящаяся в оперативной памяти утилита, которая позволяет выявлять "подозрительные" действия пользовательских программ: изменение и переименование выполняемых программ (COM- и EXE-файлов), запись на диск по абсолютному адресу, форматирование диска и т.д. При обнаружении "подозрительной" функции программа-монитор либо выдает на экран сообщение, либо блокирует выполнение перехваченной функции, либо совершает другие специальные действия.
Нерезидентный см. Резидентный
Полиморфик (полиморфик-вирус) Вирусы, предпринимающие специальные меры для затруднения их поиска и анализа. Не имеют сигнатур, т.е. не содержат ни одного постоянного участка кода. В большинстве случаев два образца одного и того же "полиморфик"-вируса не будут иметь ни одного совпадения. Это достигается шифрованием основного тела вируса и модификациями программы-расшифровщика.
Прерывание, (Interrupt) Сигнал, по которому процессор прерывает выполнение текущей последовательности команд и передает управление на программу-обработчик прерывания. Адрес программы-обработчика вычисляется по таблице векторов прерываний. Прерывание может быть инициировано либо программами пользователя при работе с дисками, экраном, принтером и т.д. (программные прерывания), либо внешними устройствами: клавиатурой, таймером (аппаратные прерывания).
Псевдосбойный кластер Каждый кластер логического диска помечается в FAT как свободный, занятый или сбойный. Сбойным (плохим) считается кластер, который содержит один или несколько дефектных секторов. Такой кластер не используется DOS и невидим для нее. Псевдосбойным называется нормальный кластер (т.е. не имеющий дефектных секторов), но помеченный в FAT как сбойный. Выделить псевдосбойный кластер из на самом деле сбойных секторов можно, несколько раз прочитав содержимое секторов кластера. Если при этом не произошло ошибки, то кластер псевдосбойный. Нормальные кластеры (т.е. не имеющие дефектных секторов) помечаются как сбойные некоторыми вирусами, которые могут затем использовать пространство таких кластеров в своих целях.
Резидентный (TSR - Terminate and Stay Resident) Запускаемые на выполнение программы делятся на резидентные и нерезидентные. Резидентная программа по окончании оставляет свой код или часть кода в оперативной памяти, при этом DOS резервирует необходимый для ее работы участок памяти. Затем резидентная программа работает параллельно другим программам, некоторые из резидентных программ могут быть выгружены из памяти. Доступ к резидентной программе осуществляется либо через подмену прерываний, либо непосредственной адресацией. Нерезидентная программа при завершении не оставляет в памяти своего кода, а занимаемая ею память освобождается.
Сектор Минимальная единица разбиения диска (т.е. минимальная адресуемая часть диска). Разбиение диска на секторы происходит при его форматировании. Различают физические (абсолютные) и логические секторы диска. Один и тот же сектор может рассматриваться как физический при обращении к нему функциями BIOS и как логический при обращении к нему при помощи прерываний DOS. Длина сектора обычно равна 512 байтам.
Продолжение следует. Подготовил Константин Петрович
(c) Компьютерная газета
Абсолютный сектор см. Сектор
Атрибуты файла Характеристики файла: системный файл, скрытый файл, файл, закрытый от записи (read-only) и т.д.
Вектор прерывания Элемент таблицы векторов прерываний. Содержит адрес программы-обработчика прерывания.
Дизассемблер Утилита, осуществляющая преобразование, обратное ассемблированию, т.е. переводящая машинные коды в язык ассемблера. Такие утилиты крайне необходимы не только при отладке программ (для чего они и создаются), но и при анализе вируса.
Дизассемблирование Перевод машинных кодов какой-либо программы в ее представление на языке ассемблера.
Дистрибутив (дистрибутивные копии) Копии программного продукта (или дискеты, содержащие эти копии), полностью совпадающие с оригиналом, входящим в комплект поставки этого продукта.
Заголовок EXE-файла Часть EXE-файла,содержащая управляющую информацию. Располагается в начале EXE-файла и содержит информацию для системного загрузчика: длину загружаемого модуля, значения регистров, таблицу настройки адресов и др.
Кластер Единица разбиения логического диска. Состоит из одного или нескольких подряд расположенных логических секторов диска. Длина кластера на флоппи-дисках обычно равна 1 или 2, на винчестере - 4 или 8.
Компаньон-вирусы (companion) Вирусы, не изменяющие файлы. Алгоритм работы этих вирусов состоит в том, что они создают для EXE-файлов файлы-спутники, имеющие то же самое имя, но с расширением.COM, например, для файла XCOPY.EXE создается файл XCOPY.COM. Вирус записывается в COM-файл и никак не изменяет EXE-файл. При запуске такого файла DOS первым обнаружит и выполнит COM-файл, т.е. вирус, который затем запустит и EXE-файл.
Логический диск Единица разбиения диска. Состоит из подряд расположенных физических секторов. Логический диск делится на Boot-сектор, секторы FAT, корневого каталога и области данных. Секторы, входящие в область данных, группируются в кластеры. Логическим дискам ставятся в соответствие заглавные символы (A:, B:, D: и т.д.). В пределах логического диска возможна логическая адресация к секторам.
Логический сектор см. Сектор
Монитор (программа-монитор, блокировщик) Резидентно находящаяся в оперативной памяти утилита, которая позволяет выявлять "подозрительные" действия пользовательских программ: изменение и переименование выполняемых программ (COM- и EXE-файлов), запись на диск по абсолютному адресу, форматирование диска и т.д. При обнаружении "подозрительной" функции программа-монитор либо выдает на экран сообщение, либо блокирует выполнение перехваченной функции, либо совершает другие специальные действия.
Нерезидентный см. Резидентный
Полиморфик (полиморфик-вирус) Вирусы, предпринимающие специальные меры для затруднения их поиска и анализа. Не имеют сигнатур, т.е. не содержат ни одного постоянного участка кода. В большинстве случаев два образца одного и того же "полиморфик"-вируса не будут иметь ни одного совпадения. Это достигается шифрованием основного тела вируса и модификациями программы-расшифровщика.
Прерывание, (Interrupt) Сигнал, по которому процессор прерывает выполнение текущей последовательности команд и передает управление на программу-обработчик прерывания. Адрес программы-обработчика вычисляется по таблице векторов прерываний. Прерывание может быть инициировано либо программами пользователя при работе с дисками, экраном, принтером и т.д. (программные прерывания), либо внешними устройствами: клавиатурой, таймером (аппаратные прерывания).
Псевдосбойный кластер Каждый кластер логического диска помечается в FAT как свободный, занятый или сбойный. Сбойным (плохим) считается кластер, который содержит один или несколько дефектных секторов. Такой кластер не используется DOS и невидим для нее. Псевдосбойным называется нормальный кластер (т.е. не имеющий дефектных секторов), но помеченный в FAT как сбойный. Выделить псевдосбойный кластер из на самом деле сбойных секторов можно, несколько раз прочитав содержимое секторов кластера. Если при этом не произошло ошибки, то кластер псевдосбойный. Нормальные кластеры (т.е. не имеющие дефектных секторов) помечаются как сбойные некоторыми вирусами, которые могут затем использовать пространство таких кластеров в своих целях.
Резидентный (TSR - Terminate and Stay Resident) Запускаемые на выполнение программы делятся на резидентные и нерезидентные. Резидентная программа по окончании оставляет свой код или часть кода в оперативной памяти, при этом DOS резервирует необходимый для ее работы участок памяти. Затем резидентная программа работает параллельно другим программам, некоторые из резидентных программ могут быть выгружены из памяти. Доступ к резидентной программе осуществляется либо через подмену прерываний, либо непосредственной адресацией. Нерезидентная программа при завершении не оставляет в памяти своего кода, а занимаемая ею память освобождается.
Сектор Минимальная единица разбиения диска (т.е. минимальная адресуемая часть диска). Разбиение диска на секторы происходит при его форматировании. Различают физические (абсолютные) и логические секторы диска. Один и тот же сектор может рассматриваться как физический при обращении к нему функциями BIOS и как логический при обращении к нему при помощи прерываний DOS. Длина сектора обычно равна 512 байтам.
Продолжение следует. Подготовил Константин Петрович
Компьютерная газета. Статья была опубликована в номере 45 за 1999 год в рубрике безопасность :: разное
