n  сдвигаем все последующие секции в страничном имидже, увеличивая их v_a на ALIGN_UP(sizeof(X-code), OA) байт;

n  если таблица перемещаемых элементов присутствует, увеличиваем все абсолютные ссылки на перемещенные секции на ALIGN_UP(sizeof(X-code), OA) байт, если же таблицы перемещаемых элементов нет, используем различные эвристические алгоритмы;

n  пересчитываем ImageSize.

Идентификация пораженных объектов. Данный тип внедрения до сих пор не выловлен в живой природе, поэтому говорить о его идентификации преждевременно.

Восстановление пораженных объектов. Ни одного пораженного объекта пока не зафиксировано.

Категория Z: внедрение через автозагружаемые DLL

Внедриться в файл можно, даже не прикасаясь к нему. Не верите? А зря! Windows NT поддерживает специальный ключ реестра, в котором перечислены DLL, автоматически загружающиеся при каждом создании нового процесса. Если Entry Point динамической библиотеки не равна нулю, она получит управление еще до того, как начнется выполнение процесса, что позволяет ей контролировать все происходящие в системе события (такие, например, как запуск антивирусных программ). Естественно, борьба с вирусами под их руководством ни к чему хорошему не приводит, и система должна быть обеззаражена. Убедитесь, что в HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWindowsAppInit_DLLs перечислены только легальные динамические библиотеки и нет ничего лишнего!

Заключение

Хотя собранная автором коллекция методов внедрения претендует на полноту (если вам встречались программы, внедряющиеся в файл другим способом, пожалуйста, дайте об этом знать), технический прогресс не стоит на месте, и каждый день приносит новые технологии и идеи. Поэтому не воспринимайте эту статью как догму. Это всего лишь путеводитель по кибернетической стране виртуального мира.

Дополнительная литература:

1. Касперски К. Борьба с вирусами: опыт контртеррористических операций. – Журнал «Системый администратор», №10(11), октябрь, 2003 г. – 68-76 с.

2. Касперски К. Вирусы в UNIX, или Гибель Титаника II. – Журнал «Системый администратор», №1(14), январь, 2004 г. – 6-23 с.

3. Касперски К. Ошибки переполнения буфера извне и изнутри как обобщенный опыт реальных атак. – Журнал «Системый администратор», №3(16), март, 2004 г. – 64-72 с.