Сейчас очень трудно установить, когда в первый раз за- говорили о программах-вирусах. Еще труднее установить, когда и где родилась идея создания программ, осуществляющих автоматическую модификацию и воспроизведение. Математическая модель распространения инфекций известна уже давно (Н.Т.Дж. Бейли; Математическая теория эпидемий; Хафнер 1957 ). Хотя в США уже в семидесятых и в начале восьмидесятых годов появлялись публикации о так называемых "программах-червяках" и о "вирусах" (Ассоциация по вычислительной технике. Использование вирусных функций для обеспечения работы виртуального АПЛ интерпретатора под управлением пользователя; 1974 и "программы-червяки" - ранние опыты с распределенными вычислениями; 1982), в ФРГ обсуждение самовоспроизводящегося программного обеспечения началось только после появления статьи в Шпигеле в 1984 году.

Компьютерные вирусы со времени своего появления распространились чрезвычайно широко. Сейчас уже трудно найти человека,который бы ни разу не слышал об этих " существах ".И вместе с тем подавляющее большинство пользователей почти ничего не знают о том, что это такое, и склонны приписывать виру- сам различные фантастические возможности, а также сильно преувеличивать их опасность.Словом,эта тема окутывается завесой таинственности.Такое положе- ние возникло, главным образом, из - за почти пол- ного отсутствия специальной литературы по данному вопросу ( причина этого вполне понятна ).А в имею- щейся литературе для широкого круга читателей ино- гда можно встретить ошибочные и неправдоподобные сведения.Например, в одной очень распространенной и читаемой книге сказано, что некоторые вирусы "выживают" в компьютере даже после выключения пи- тания !Неизвестно,что имел ввиду автор,но эта фра- за полностью абсурдна. Дело в том, что при вык- лючении питания содержимое оперативной памяти те- ряется, в ПЗУ записать что - либо невозможно, а в CMOS - памяти свободного места для хранения вирус- ного кода никогда не хватит.Вирус может "выжить" в компьютере разве что на жестком диске, но этой способностью обладают все вирусные программы.

Под заражением понимают присоединение вирусом своего кода к файлу.При этом вирус должен так модифицировать заражаемый файл, чтобы получить управление при его запуске. Существует несколько методов заражения COM - программ. Вирусный код может записываться в конец, начало и даже в середину файла. Каждый из этих способов имеет свои достоинства и недостатки. Мы же рассмотрим запись вирусного кода в конец файла.Такой прием используется в подавляющем большинстве вирусов, и обеспечивает хорошие результаты при сравнительно простой реализации. Итак, вирус записывает свой код в конец файла.Для того, чтобы при старте этот код получил управление и начал выполняться, во время заражения программа несколько модифицируется. С этой целью используется трехбайтовая команда прямого ближнего перехода. Вирус записывает эту команду вместо первых трех байт заражаемого файла, а исходные три байта сохраняет в своей области данных.Теперь при запуске зараженной программы код вируса всегда будет выполняться первым.

Получив управление при старте зараженной программы, вирус выполняет следующие действия : 1. Восстанавливает в памяти компьютера исходные три байтa этой программы. 2. Ищет на диске подходящий COM - файл. 3. Записывает свое тело в конец этого файла. 4. Заменяет первые три байта заражаемой программы командой перехода на свой код, сохранив предварительно исходные три байта в своей области данных. 5. Выполняет вредные действия, предусмотренные автором. 6. Передает управление зараженной программе. Поскольку в COM - файле точка входа всегда равна CS : 100h, можно не выполнять сложных расчетов, а просто выполнить переход на этот адрес. Если же подходящих для заражения COM - файлов найдено не было, то вирус просто осуществляет переход на начало зараженной программы, из которой он и стартовал. После этого зараженная программа выполняется,как обычно. Сам вирусный код выполняется очень быстро и для пользователя ЭВМ этот процесс остается незаметным. Стоит заметить, что п.5 может вообще не выполняться. Существуют вирусы, которые никак не проявляют себя, кроме размножения ( например, VIENNA 534 ) Вместе с тем есть такие, которые способны нанести определенный вред файлам или диску. Например,вирус ANTI_EXE мешает нормально работать с EXE -файлами, DARK AVENGER записывает бессмысленную информацию в случайные сектора диска, а ONEHALF шифрует сектора на винчестере один за другим.Все зависит от изобретательности автора.

Очевидно, чтобы вирус распространился, его нужно внедрить в вычислительную систему. Делается это так : 1. Автор разрабатывает вирусную программу. Обычно для этой цели используется язык ассемблера, так как программы, написанные на нем, выполняются очень быстро и имеют малый размер.Хотя есть вирусы, на писанные на языке TURBO C и даже на TURBO PASCAL. 2. Исходный текст программы компилируется, и из него создается исполняемый файл (обычно типа COM). Этот файл предназначен для того, чтобы " выпустить вирус на свободу ".Назовем программу, записанную в этом файле, запускающей. 3. Запускающая программа выполняется на машине, которую необходимо заразить. 4. Выпущенный на свободу вирус выполняет действия, описанные в 1.3.Различие заключается только в выполнении п.1. А именно при восстановлении в памяти исходных трех байтов программы на их место записывается команда перехода, передающая управление коду завершения запускающей программы. Таким образом, при выполнении п.6 управление будет отдано операционной системе, а на диске образуется зараженный файл. При копировании этого файла на другие компьютеры и их запуске вирус начнет распространяться …

В данной презентации были представлены основные этапы начала деятельности вируса, попавшего на компьютер, история возникновения вирусов. На основе полученной информации можно начинать экспериментальный создание программ- ревизоров программ-устранителей, программ- восстановителей.