Funktionsweise eines Virus (DOS)

aus GlossarWiki, der Glossar-Datenbank der Fachhochschule Augsburg
Wechseln zu:Navigation, Suche
Dieser Artikel sollte überarbeitet werden.
Die Regeln für GlossarWiki-Artikel sollten beachten werden.
Die Aussagen sollten inhaltlich verbessert bzw. präzisiert werden.

In diesem Artikel fehlen die Quellenangaben.

Dieser Artikel ist nicht korrekt kategorisiert (siehe Regeln für GlossarWiki-Artikel).

1 Auffinden von infizierbaren Programmen

Die simpelste Möglichkeit ist, die Festplatte komplett nach ausführbaren Programmen zu durchsuchen und alle auf einmal zu infizieren. Dies ist jedoch sehr auffällig, da das Durchsuchen lange Zeit in Anspruch nehmen kann. Die weitaus geschicktere Variante von Viren installiert sich als ein im Hintergrund laufendes Programm, welches die Interruptvektortabelle von MSDOS verändert. Es wird hierzu der der Interrupt der beim Starten eines Programmes ausgelöst wird, zuerst auf den Viruscode gelenkt, was durch Veränderung der in der Vektortabelle befindlichen Adresse geschieht. Der Viruscode überprüft beim Aufruf durch den Interrupt nun, ob das aufgerufene Programm bereits infiziert ist - falls nicht wird es infiziert. Danach springt der Viruscode den eigentlich Interruptbehandlungscode an, um ein normal funktionierendes System vorzutäuschen.


2 Infizieren eines Programmes

Die Infektion eines Programmes erfolgt durch Veränderung der Einsprungsadresse des Wirtprogrammes. Hierzu wird der Viruscode an das Ende des Programmes angehängt, die Einsprungadresse so veränder, das zuerst der Viruscode ausgeführt wird und nach dessen Ausführung an den eigentlichen Programmbeginn gesprungen. Andere Virusvarianten, die Programmcode überschreiben, können nicht lange unbemerkt agieren, da sie die Benutzerprogramme zerstören und somit sehr auffällig sind.