Предыдущая страница реферата | 1  2  3  4  5  6  7  8  9 | Следующая страница реферата

• если вирус пристыкован в конец файла, то в восстанавливаемый файл переносится эталонный заголовок и незараженная часть, начиная с байта TablOff + ReloCnt'4 от начала файла и до байта FileSize-HL Отмечу следующее обстоятельство. Описанная система защиты дублирует заголовок файла в тело программы. Ничто не мешает вирусу проверить тело программы на наличие дубликата и соответствующим образом изменить его. Я далек от мысли, что Вы,, уважаемый читатель, после знакомства с этим разделом захотите создать собственный вирус, учитывающий это обстоятельство. Тем не менее я считаю, что нелишней будет какая-то защита самого ключа. Такая защита реализуется очень просто: для этого достаточно все 16—битные поля эталона заголовка сложить по модулю 2 со случайной константой Key, С этой целью в процедуру Save помещен следующий фрагмент (см. текст модуля в прил.П7):

{Зашифровать ключ:} Randomize; Head.Key := Random($FFFF);

with Head,

Head .HE do for k = I to 14 do

Hem[k] := HE. Hem [k] xor Key;

(массив Hem совмещен в памяти с сохраняемым в файле эталонным заголовком, а НЕ .Нет-с заголовком файла в момент первого запуска).

Инициация генератора случайных чисел с помощью процедуры Randomize гарантирует, что шифр Head.Key не будет повторяться в различных программах. В процедуре CheckFile с помощью операторов

{Дешифровать ключ: }

with Н,Н.НЕ do for k := I to 14 do Hem[k] := Hem[k] xor Key;

восстанавливается исходный вид ключа.

Процедура CheckFile, осуществляющая установку или контроль ключа, вызывается в ходе выполнения установочной части модуля F_Anti, поэтому для использования описанного метода защиты достаточно указать имя модуля в предложении Uses. Замечу, что в случае разработки программы с оверлеями модуль F_Anti можно объявить оверлейным, если в установочной части любого неоверлейного модуля инициируется работа администратора оверлея.

В распоряжении программиста имеется глобальная переменная CheckVirasResult, сигнализирующая о результатах проверки программы. Значения этой переменной интепретируются следующим образом:

0; {Не обнаружен факт заражения} 1; {Первый запуск, в программе установлена защита}

-1; {Вирус обезврежен с согласия пользователя}

-2; {Вирус обезврежен автоматически} .

-3; {Контроль подавлен ключом /NOANTI}

-4; {Вирус расположен в начале программы}

Работа процедуры CheckFile может быть подавлена, если программа за-пускается с ключом /NOANTI. Ключ /NOQUERY разрешает автоматическое удаление обнаруженного вируса без разрешения пользователя.

Ключ /NOALARM также разрешает процедуре автоматически удалить вирус, но запрещает выдавать на экран предупреждающее сообщение. Наконец, ключ /NOCOPY запрещает создание резервной копии зараженного файла (с расширением VIR).

Следующая простая программа иллюстрирует технику использования модуля F-Anti. Если Вы скомпилируете эту программу в файл testanti.exe, то после команды testanti на экране появится сообщение

Установлена защита файла TESTANII.EXE. при первом запуске программы и В файле TESTANTI.EXE вирус не обнаружен.

при каждом следующем запуске. Если запустить программу командой

testanti /noanti на экран будет выведено сообщение Контроль блокирован ключом /NOANTI.

Uses FAnti; begin

case CheckVirusResuit of

Рекомендуем скачать другие рефераты по теме: курсовые работы бесплатно, реферати курсові.





Предыдущая страница реферата | 1  2  3  4  5  6  7  8  9 | Следующая страница реферата