Exkurs: Vektoren
Die ersten 2 KB im Arbeitsspeicher der Atari ST (TT) Computer haben
eine besondere Funktion: die Bedeutung der meisten Speicheradressen
ist offiziell dokumentiert und darf unter Einhaltung bestimmter
Regeln verändert werden. Hier finden sich unter anderem die Vektoren,
deren Aufgabe (vereinfacht dargestellt) Wegweisern entspricht, die
vom Betriebssystem beachtet werden, wenn bestimmte Ereignisse
eintreten.
Ein Beispiel: Der gleichzeitige Druck der Tasten Alternate + Help löst
normalerweise eine Hardcopy vom Bildschirm auf einem 9-Nadel Drucker
aus. Nehmen wir an, Sie haben einen Laserdrucker und hätten statt der
gedruckten Hardcopy lieber eine Hardcopy in Form einer Grafikdatei.
Mit Hilfe der Systemvektoren kein Problem, denn im Speicher steht an
Adresse 1282 (dezimal) die Adresse der Hardcopy-Funktion, die vom
Betriebssystem durch das Drücken der Tastenkombination Alternate
+ Help aufgerufen wird. Ein Programm zum Speichern einer Hardcopy muß
also nichts anderes machen, als hier die eigene Startadresse
einzutragen, um in Zukunft statt der Druckfunktion des
Betriebssystems aufgerufen zu werden.
|
Die meisten Viren verändern zu Ihrer Verbreitung einige
Betriebssystem-Vektoren, und diese Veränderungen kann mit Hilfe der
Vertorüberwachung von Poison! festgestellt werden. Die Nutzung der
Systemvektoren ist grundsätzlich eine durchaus sinnvolle Sache, die
von vielen Programmen (z.B. von Poison!) selbst genutzt wird, um
entweder in bestimmten Situationen auf Ereignisse reagieren oder um
Betriebssystem-Funktionen (z.B. die Dateiauswahl) zu ersetzen. Aus
ihrer Veränderung kann also zunächst kein Rückschluß auf die
Aktivität eines Virus gezogen werden.
Der einzige Ansatz, einem Virus auf die Schliche zu kommen besteht
darin, bei einem garantiert gesunden System festzustellen, welche
Programme die Vektoren verändern. Später sind Sie dann in der Lage,
unbekannte Programme zu entdecken und unter Umständen als Virus zu
identifizieren.
Poison! - 16 / 23
|