home
***
CD-ROM
|
disk
|
FTP
|
other
***
search
/
Chip 1996 April
/
CHIP 1996 aprilis (CD06).zip
/
CHIP_CD06.ISO
/
hypertxt.arj
/
92
/
OS2VIR.CD
< prev
next >
Wrap
Text File
|
1995-09-14
|
10KB
|
157 lines
@VAz OS/2 és a vírusok@N
Az OS/2 operációs rendszer Magyarországon eddig nem volt
népszerû. Azonban az új verzió megjelenésével elképzelhetô,
hogy javulnak eddigi pozíciói. Az új verzió már képes a
Windows alá írt programok futtatására, és DOS-futtatódoboza
is jobb, mint korábban. îgy érdemes tisztában lenni azokkal
a veszélyekkel, amelyek ennek az operációs rendszernek a
használóira leselkednek.
Most folyik annak vizsgálata, hogy vajon hogyan
viselkednek a 2.0 alatt az ismert DOS vírusok. Annyi már
látható, hogy jópár nem tud futni, viszont arra még képes,
hogy elindulása után azonnali rendszerösszeomlást okozzon.
Az OS/2 DOS alatt a HPFS rendszerû file-nyilvántartási
és file-kezelési eljárást alkalmazza. Alatta a
file-elnevezések hasonlók a régi @Kfile-név.kiterjesztés@N
struktúrához, de a file fizikai rögzítésének formátuma már
eltérô, így a DOS nem látja azt. Az új HPFS rendszer elônye,
hogy a megszokottnál jóval gyorsabb file-kezelést tesz
lehetôvé még a DOS programok futtatása során is, különösen
akkor, ha sok file-t tartalmazó könyvtárakkal dolgozunk.
Helyet is kímél, hiszen 512 byte-os helyfoglalási
egységekkel dolgozik, és egy beépített szoftveres cache
mechanizmus tovább gyorsítja a mûködését. A probléma abban
rejlik, hogy egy olyan DOS-felületet kapunk, amely csak a
felszínen DOS, ugyanis ha a rendszer mélyébe hatolunk,
láthatjuk, hogy saját törvényei szerint mûködik.
Nos, ebben a szituációban kiszámíthatatlan, hogy a
rendszer miként reagál egy olyan programra, amely
rendszerközeli DOS hívásokat, közvetlen I/O-mûveleteket és
sok olyan csemegét használ, mint amilyeneket a vírusok
illetve a víruskeresô programok alkalmaznak. Például az
F-Prot antivírus programcsomag garantáltan nem fut még az
OS/2 DOS-dobozában sem. Szerencsére a legtöbb másolásvédelem
-- fôleg a rendszerközeli hívásokat, közvetlen lemezírást
alkalmazó és kárt okozó védelmek -- sem fut OS/2 alatt, ha
itt kizárólag az eredetileg DOS környezetre írt programokra
gondolunk.
Az elôzetes tesztek alapján kiderült, hogy a tisztán
OS/2-re írt programok is jelentôsen károsodhatnak a
közönséges file-vírusoktól. Számos, az Application Program
Interface (API) által indított, illetve azt használó program
hagyományos vírusoktól is komoly károsodást szenvedhet. Van
egy másik veszélyforrás is. A számítástechnika
adatbiztonsági kérdéseivel foglalkozó nyugati intézetekbôl
kiszivárgott, hogy komoly fejlesztések folynak kizárólag
Windows 3.xx környezetben futó vírusok létrehozására. Ez
további veszélyforrást jelent, ami nyilvánvalóan a
másolásvédelemekben fog elôször megjelenni, de a technológia
megismerése után már maszek fejlesztésû vírusok megjelenése
is várható. Amikor egy programot elindítunk, az OS/2 azt
nézi, hogy milyen az .EXE file fejléce. Ha Windows típusú,
akkor mint Windows-alkalmazást futtatja a módosított
Windows-mag elindításával, ha nem, akkor OS/2-alkalmazásként
futtatja.
Az OS/2 sajátossága, hogy egyszerre több ablakban több
DOS alkalmazást is képes futtatni. Minden DOS alkalmazásnak
saját memóriacímzése van, minden program úgy látja a
memóriát, mintha ô birtokolna egyedül egy 80386-os gépet, és
más nem is lenne a rendszerben. E sajátos kiosztás miatt
minden memóriarezidens vírusvédô rendszer, illetve rezidens
program egyszerûen megbolondul. Az file-kezelô rendszer
pedig megosztja a lemezmûveleteket a DOS futtatása alatt,
miként a Desqview alatt is megosztódik a memória az egyes
elindított taszkok között. Ha befejezzük a DOS futtatását,
akkor a parancsprocesszor -- a benne lévô esetleges rezidens
programokkal együtt -- eltakarodik a memóriából. S ha
ilyenkor egy adott taszkon belül vírus fut az OS/2 alatt, az
a ki- vagy belépéskor számos kellemetlen dolgot mûvelhet.
Bill Arnold az amerikai Compuserve rendszeren elindított
rövid ismertetésében június elején publikálta az OS/2 kontra
DOS vírusok mérkôzés néhány érdekes eredményét. Alapvetô
megállapítása, hogy a vírusok sokszor megakadályozzák a DOS
processzor futtatását, ""teljes rendszerkiakadást" okozva. A
DOS vírussal fertôzött COMMAND.COM -- Bill Arnold a
4096/Frodo vírussal kísérletezett -- sok esetben a
megszokott módon terjeszti a vírust. A probléma akkor
következik be, ha a vírus nem DOS-alkalmazást próbál
megfertôzni.
Ha teljes képernyôn futtatjuk a DOS-t, s olyan vírus van
jelen, amely közvetlenül alkalmazza a képernyô vagy más
periféria I/O-mûveleteit, akkor sok képernyômûvelet erôsen
felgyorsul. Ilyen produkciót hajt végre a klasszikus
Jerusalem-B vírus, amely ráadásul file-t fertôzô vírus.
Kissé más a helyzet a boot- és partícióstábla-vírusokkal. A
DOS-ban elmélyedt programozók tudják, hogy közvetlen
lemezírást az INT 13 publikált és nem publikált hívásain
keresztül lehet végezni. Ezt a trükköt természetesen ismerik
a trükkös vírusírók is. Ha megnézzük, hogy a Michelangelo
vajon mit csinál OS/2 közegben, akkor azt vesszük észre,
hogy nem tud fertôzni. Ennek oka egyszerû: az INT 13
használata az OS/2 DOS héjában le van tiltva. Ha olyan
vírussal kísérletezünk, amely file- és boot-fertôzésekre
egyaránt képes -- mint például a FLIP 2153 --, akkor az csak
file-okat tud fertôzni, de semmiképpen sem képes a boot
szektor megfertôzésére. Az INT 13 meghívása azt adja vissza,
hogy a lemez írásvédett.
A boot-vírusok sok más gondot is okoznak a
felhasználónak az OS/2 alatt. Például elôfordulhat, hogy
Michelangelo vagy éppen Stoned vírussal fertôzött floppyról
indítunk figyelmetlenségbôl rendszert. Ilyenkor a
Michelangelo veszi át a vezérlést, és minden úgy történik,
mintha DOS-ban lennénk.
Másik érdekesség, hogy az OS/2 sajátos hibridje két,
illetve három operációs rendszernek, az OS/2-nek, a DOS
5.0-nak és a Windows 3.xx-nek. A két fô operációs rendszer
közötti váltást a kettôs indítás (dual boot) lehetôsége is
megkönnyíti. Ez egy igen érdekes, de
programozás-technikailag szokatlan megoldás. A lemezen két
boot szektor rendszer van. Amikor OS/2-bôl kiadjuk a
BOOT/DOS parancsot, akkor az elmentett DOS boot szektor
visszaíródik a helyére, az elmentett AUTOEXEC.BAT és
CONFIG.SYS is a helyére kerül, majd az OS/2 egy
hidegindítást csinál. Ezt az eljárást valahogy elfelejtették
dokumentálni a kézikönyvekben. S ez ad lehetôséget egy
kiirthatatlan vírusfertôzésre is.
Ha DOS-sal indult a gép, és megfertôzi eközben egy
boot-vírus, akkor a boot szektor hagyományos módon
fertôzötté válik. Namármost, ha ezután kiadjuk a BOOT/OS2
parancsot, akkor a fertôzött boot szektor kerül elmentésre.
Utána pedig ezt kapjuk vissza minden DOS boot átálláskor.
Eddig egy olyan vírusról tudunk, ami hasonlóképpen az OS/2
bootba képes bemenni, a Formról.
Van a boot-kezelônek egy másik hívása is, amelyre sem a
dokumentáció, sem pedig az eddigi szakirodalom nem utal. Ez
a partíciós táblát kezeli. A partíciós tábla normál
partíciós tábla formátumú. Viszont definiál egy új
típusazonosítót 0x0Ah jelzéssel. Ugyanakkor létrehoz egy
""valódi" partíciót is, amely azonban rejtett a normál DOS
és OS/2 írás--olvasási mûveletek elôtt, és csak közvetlen
lemezmûveletekkel érhetô el. Ez a boot-manager partíció,
amelyen alapjában a rendszerválasztó program mûködik, és itt
vannak elmentve a boot-változatok is, mintegy 1 Mbyte-on.
A boot-manager segítségével valósítható meg egy lemezen
több operációs rendszer telepítése. A rejtett partícióban
ugyanis minden elmentett boot verzió megtalálható, s a
víruskeresô programok DOS módban sem juthatnak be erre a
területre. Ugyanakkor -- amennyire az amerikai és német
félhivatalos számítástechnikai közleményeket figyelve
látható -- az OS/2-nek ez egy olyan sebezhetô pontja, ahová
a másolásvédelemtôl a vírusig minden problémamentesen
eldugható. Ha az operációs rendszert nem a BIOS boot
ellenôrzésével, hanem a boot-manager alatt futtatjuk, akkor
a Form vírus vígan nevet minden ellene irányuló kísérleten,
és terjeszti magát a floppykon. Ez a nagyon titokzatos és a
formázást túlélô vírusok legendáját erôsíti.
Az érdeklôdés a vírusírók és az vírusirtók körében ismét
az OS/2 felé fordul. Annál is inkább, mert itt a régi
technológiák egy része továbbélhet, ugyanakkor új
megoldásokat kell találni. Például olyan víruskeresôket és
vírusirtókat kell készíteni, amelyek a boot-manager rejtett
területeit is képesek átfésülni. Ugyanakkor eredményesen meg
kell oldani a behelyezett floppyk mûködôképes ellenôrzését
is. ùj fejezet kezdôdött a vírusháborúk történetében.
@KKis János@N