Exkurs: Vektoren

Die ersten 2 KB im Arbeitsspeicher der Atari ST (TT) Computer haben eine besondere Funktion: die Bedeutung der meisten Speicheradressen ist offiziell dokumentiert und darf unter Einhaltung bestimmter Regeln verändert werden. Hier finden sich unter anderem die Vektoren, deren Aufgabe (vereinfacht dargestellt) Wegweisern entspricht, die vom Betriebssystem beachtet werden, wenn bestimmte Ereignisse eintreten.

Ein Beispiel: Der gleichzeitige Druck der Tasten Alternate + Help löst normalerweise eine Hardcopy vom Bildschirm auf einem 9-Nadel Drucker aus. Nehmen wir an, Sie haben einen Laserdrucker und hätten statt der gedruckten Hardcopy lieber eine Hardcopy in Form einer Grafikdatei. Mit Hilfe der Systemvektoren kein Problem, denn im Speicher steht an Adresse 1282 (dezimal) die Adresse der Hardcopy-Funktion, die vom Betriebssystem durch das Drücken der Tastenkombination Alternate + Help aufgerufen wird. Ein Programm zum Speichern einer Hardcopy muß also nichts anderes machen, als hier die eigene Startadresse einzutragen, um in Zukunft statt der Druckfunktion des Betriebssystems aufgerufen zu werden.

Die meisten Viren verändern zu Ihrer Verbreitung einige Betriebssystem-Vektoren, und diese Veränderungen kann mit Hilfe der Vertorüberwachung von Poison! festgestellt werden. Die Nutzung der Systemvektoren ist grundsätzlich eine durchaus sinnvolle Sache, die von vielen Programmen (z.B. von Poison!) selbst genutzt wird, um entweder in bestimmten Situationen auf Ereignisse reagieren oder um Betriebssystem-Funktionen (z.B. die Dateiauswahl) zu ersetzen. Aus ihrer Veränderung kann also zunächst kein Rückschluß auf die Aktivität eines Virus gezogen werden. Der einzige Ansatz, einem Virus auf die Schliche zu kommen besteht darin, bei einem garantiert gesunden System festzustellen, welche Programme die Vektoren verändern. Später sind Sie dann in der Lage, unbekannte Programme zu entdecken und unter Umständen als Virus zu identifizieren.

 

Poison! - 16 / 23

52