TSR (резидентные) вирусы DOS предусматривает
TSR (резидентные) вирусы
DOS предусматривает единственный способ создания резидентных (TSR) модулей — при помощи функции KEEP (int21h или int27h). Многие файловые вирусы для маскировки своего распространения используют другой способ, обрабатывая системные области, управляющие распределением памяти, выделяют для себя свободный участок памяти, помечают его как занятый и переписывают туда свою копию.
Некоторые вирусы внедряют свои TSR-копии в свободные участки памяти в таблице секторов прерываний, в рабочие области DOS, в память, отведенную под системные буферы.
Известны два способа проверки резидентным вирусом наличия своей копии в памяти ПК:
• Первый заключается в том, что вирус вводит новую функцию некоторого прерывания, действие которой заключается в возврате значения «я здесь». При старте вирус обращается к ней и, если возвращенное значение совпадает со значением «я здесь», то память ПК уже заражена и повторное заражение не производится.
• При проверке вторым способом вирус просто скопирует память ПК.
Оба способа могут в той или иной мере сочетаться друг с другом.