На главную страницу
Информационные системы и банки данныхУправление и принятие решений в сложных системахПрикладные информационные технологииКомпьютер в учебном процессеСетевые технологииПленарные доклады Карта сервераПобедители семинараИнформацияОбщее впечатлениеВаши отзывы
Назад к списку докладов

ИНСТРУМЕНТАЛЬНОЕ СРЕДСТВО ДЛЯ БОРЬБЫ С ВИРУСАМИ В W1N95/WIN98/WINNT

Д.А.Закутайло
(Симферопольский государственный университет, Украина)

Данное средство предназначено для отслеживания работы вирусов под Win32. Часто программист, сталкиваясь с вирусом, не может понять, как он работает. В таких случаях для прослеживания работы программы или DLL незаменимы программные средства, позволяющие заглянуть внутрь текущего приложения. Для живого анализа исполняющейся программы нет ничего лучше, чем отладочная программа АР!..

Отладочное средство API (Application Program Interface — интерфейс прикладной программы) демонстрируют, какие функции Windows вызывает программа и ее DLL. Кроме вывода имен функций в порядке очередности их вызова, - средство также регистрируют значения параметров функции и возвращаемые функциями значения. Имея перед собой всю эту информацию, достаточно просто определить, что делает та или иная часть вируса. Построено простое, но мощное регистрирующее средство Win32 API, допускающее произвольные расширения. Перечень спецификаций API: 1. Для заданной Win32-nporpaMMbi "шпион" должен запротоколировать вызовы функций из некоторого набора DLL, которые осуществляет заданная программа. 2. Набор выводимых DLL должен допускать расширение пользователем с помощью файла конфигурации. 3. Если параметры функции известны, они могут быть заданы в файле конфигурации и их значения будут зарегистрированы вместе с именем функции. 4. "Шпион" регистрирует возвращаемые функциями значения. 5. "Шпион" работает под Windows NT, Windows 95 и Win32s. 6. Не происходит никаких изменений в исходном тексте программы или в исполняемом файле. 7. Вывод регистрации происходить в файл на диске, а не на экран.

Отладочное средство сможет выполнять несколько операций: предоставлять пользователю выбор программы, за которой нужно "шпионить", запускать эту программу и создавать текстовый ASCII-файл с зарегистрированной информацией. После завершения исполнения выбранной программы текстовый файл можно просматривать в любом редакторе. Средство реализации- Borland Delphi 4.0, TASM 5.0

RLE Banner Network