home *** CD-ROM | disk | FTP | other *** search
/ Chip 1996 April / CHIP 1996 aprilis (CD06).zip / CHIP_CD06.ISO / hypertxt.arj / 92 / OS2VIR.CD < prev    next >
Text File  |  1995-09-14  |  10KB  |  157 lines
  1.       @VAz OS/2 és a vírusok@N
  2.  
  3.           Az OS/2 operációs rendszer Magyarországon eddig nem volt
  4.       népszerû. Azonban az új verzió megjelenésével  elképzelhetô,
  5.       hogy  javulnak eddigi  pozíciói. Az  új verzió  már képes  a
  6.       Windows alá írt programok futtatására, és  DOS-futtatódoboza
  7.       is jobb, mint korábban. îgy érdemes tisztában lenni  azokkal
  8.       a  veszélyekkel, amelyek  ennek az  operációs rendszernek  a
  9.       használóira leselkednek.
  10.           Most  folyik   annak  vizsgálata,   hogy  vajon   hogyan
  11.       viselkednek a  2.0 alatt  az ismert  DOS vírusok.  Annyi már
  12.       látható, hogy jópár nem  tud futni, viszont arra  még képes,
  13.       hogy elindulása után azonnali rendszerösszeomlást okozzon.
  14.           Az OS/2 DOS  alatt a HPFS  rendszerû file-nyilvántartási
  15.       és    file-kezelési    eljárást    alkalmazza.    Alatta   a
  16.       file-elnevezések  hasonlók   a  régi   @Kfile-név.kiterjesztés@N
  17.       struktúrához, de a  file fizikai rögzítésének  formátuma már
  18.       eltérô, így a DOS nem látja azt. Az új HPFS rendszer elônye,
  19.       hogy  a  megszokottnál  jóval  gyorsabb  file-kezelést  tesz
  20.       lehetôvé még a DOS  programok futtatása során is,  különösen
  21.       akkor,  ha  sok file-t  tartalmazó  könyvtárakkal dolgozunk.
  22.       Helyet   is   kímél,   hiszen   512   byte-os  helyfoglalási
  23.       egységekkel  dolgozik,  és  egy  beépített  szoftveres cache
  24.       mechanizmus tovább gyorsítja  a mûködését. A  probléma abban
  25.       rejlik, hogy  egy olyan  DOS-felületet kapunk,  amely csak a
  26.       felszínen  DOS,  ugyanis  ha  a  rendszer  mélyébe hatolunk,
  27.       láthatjuk, hogy saját törvényei szerint mûködik.
  28.           Nos,  ebben  a  szituációban  kiszámíthatatlan,  hogy  a
  29.       rendszer   miként   reagál   egy   olyan   programra,  amely
  30.       rendszerközeli DOS  hívásokat, közvetlen  I/O-mûveleteket és
  31.       sok  olyan  csemegét  használ,  mint  amilyeneket  a vírusok
  32.       illetve  a  víruskeresô  programok  alkalmaznak.  Például az
  33.       F-Prot antivírus  programcsomag garantáltan  nem fut  még az
  34.       OS/2 DOS-dobozában sem. Szerencsére a legtöbb másolásvédelem
  35.       -- fôleg  a rendszerközeli  hívásokat, közvetlen  lemezírást
  36.       alkalmazó és kárt okozó védelmek  -- sem fut OS/2 alatt,  ha
  37.       itt kizárólag az eredetileg DOS környezetre írt  programokra
  38.       gondolunk.
  39.           Az  elôzetes tesztek  alapján kiderült,  hogy a  tisztán
  40.       OS/2-re  írt   programok  is   jelentôsen  károsodhatnak   a
  41.       közönséges file-vírusoktól.  Számos, az  Application Program
  42.       Interface (API) által indított, illetve azt használó program
  43.       hagyományos vírusoktól is komoly károsodást szenvedhet.  Van
  44.       egy    másik    veszélyforrás    is.    A   számítástechnika
  45.       adatbiztonsági kérdéseivel  foglalkozó nyugati  intézetekbôl
  46.       kiszivárgott,  hogy  komoly  fejlesztések  folynak kizárólag
  47.       Windows  3.xx  környezetben futó  vírusok  létrehozására. Ez
  48.       további   veszélyforrást   jelent,   ami   nyilvánvalóan   a
  49.       másolásvédelemekben fog elôször megjelenni, de a technológia
  50.       megismerése után már maszek fejlesztésû vírusok  megjelenése
  51.       is várható.  Amikor egy  programot elindítunk,  az OS/2  azt
  52.       nézi, hogy milyen az  .EXE file fejléce. Ha  Windows típusú,
  53.       akkor   mint  Windows-alkalmazást   futtatja  a   módosított
  54.       Windows-mag elindításával, ha nem, akkor OS/2-alkalmazásként
  55.       futtatja.
  56.           Az OS/2 sajátossága,  hogy egyszerre több  ablakban több
  57.       DOS alkalmazást is képes futtatni. Minden DOS  alkalmazásnak
  58.       saját  memóriacímzése  van,  minden  program  úgy  látja   a
  59.       memóriát, mintha ô birtokolna egyedül egy 80386-os gépet, és
  60.       más nem  is lenne  a rendszerben.  E sajátos  kiosztás miatt
  61.       minden memóriarezidens vírusvédô rendszer, illetve  rezidens
  62.       program  egyszerûen  megbolondul.  Az  file-kezelô  rendszer
  63.       pedig megosztja  a lemezmûveleteket  a DOS  futtatása alatt,
  64.       miként a Desqview  alatt is megosztódik  a memória az  egyes
  65.       elindított taszkok között.  Ha befejezzük a  DOS futtatását,
  66.       akkor a parancsprocesszor -- a benne lévô esetleges rezidens
  67.       programokkal  együtt  --  eltakarodik  a  memóriából.  S  ha
  68.       ilyenkor egy adott taszkon belül vírus fut az OS/2 alatt, az
  69.       a ki- vagy belépéskor számos kellemetlen dolgot mûvelhet.
  70.           Bill Arnold az amerikai Compuserve rendszeren elindított
  71.       rövid ismertetésében június elején publikálta az OS/2 kontra
  72.       DOS  vírusok  mérkôzés néhány  érdekes  eredményét. Alapvetô
  73.       megállapítása, hogy a vírusok sokszor megakadályozzák a  DOS
  74.       processzor futtatását, ""teljes rendszerkiakadást" okozva. A
  75.       DOS  vírussal  fertôzött   COMMAND.COM  --  Bill   Arnold  a
  76.       4096/Frodo   vírussal   kísérletezett  --   sok   esetben  a
  77.       megszokott  módon  terjeszti  a  vírust.  A  probléma  akkor
  78.       következik  be,  ha  a  vírus  nem  DOS-alkalmazást   próbál
  79.       megfertôzni.
  80.           Ha teljes képernyôn futtatjuk a DOS-t, s olyan vírus van
  81.       jelen,  amely  közvetlenül alkalmazza  a  képernyô vagy  más
  82.       periféria I/O-mûveleteit,  akkor sok  képernyômûvelet erôsen
  83.       felgyorsul.  Ilyen  produkciót   hajt  végre  a   klasszikus
  84.       Jerusalem-B  vírus,  amely  ráadásul  file-t  fertôzô vírus.
  85.       Kissé más a helyzet a boot- és partícióstábla-vírusokkal.  A
  86.       DOS-ban   elmélyedt  programozók   tudják,  hogy   közvetlen
  87.       lemezírást az  INT 13  publikált és  nem publikált  hívásain
  88.       keresztül lehet végezni. Ezt a trükköt természetesen ismerik
  89.       a trükkös  vírusírók is.  Ha megnézzük,  hogy a Michelangelo
  90.       vajon mit  csinál OS/2  közegben, akkor  azt vesszük  észre,
  91.       hogy  nem  tud  fertôzni.  Ennek  oka  egyszerû:  az  INT 13
  92.       használata  az  OS/2 DOS  héjában  le van  tiltva.  Ha olyan
  93.       vírussal  kísérletezünk,  amely  file-  és boot-fertôzésekre
  94.       egyaránt képes -- mint például a FLIP 2153 --, akkor az csak
  95.       file-okat  tud fertôzni,  de semmiképpen  sem képes  a  boot
  96.       szektor megfertôzésére. Az INT 13 meghívása azt adja vissza,
  97.       hogy a lemez írásvédett.
  98.           A   boot-vírusok   sok   más   gondot   is   okoznak   a
  99.       felhasználónak  az  OS/2 alatt.  Például  elôfordulhat, hogy
  100.       Michelangelo vagy éppen Stoned vírussal fertôzött  floppyról
  101.       indítunk    figyelmetlenségbôl    rendszert.    Ilyenkor   a
  102.       Michelangelo veszi át a  vezérlést, és minden úgy  történik,
  103.       mintha DOS-ban lennénk.
  104.           Másik  érdekesség, hogy  az OS/2  sajátos hibridje  két,
  105.       illetve  három  operációs rendszernek,  az  OS/2-nek, a  DOS
  106.       5.0-nak és a Windows  3.xx-nek. A két fô  operációs rendszer
  107.       közötti váltást a kettôs  indítás (dual boot) lehetôsége  is
  108.       megkönnyíti.      Ez      egy      igen      érdekes,     de
  109.       programozás-technikailag szokatlan  megoldás. A  lemezen két
  110.       boot  szektor  rendszer  van.  Amikor  OS/2-bôl  kiadjuk   a
  111.       BOOT/DOS  parancsot,  akkor az  elmentett  DOS boot  szektor
  112.       visszaíródik  a  helyére,   az  elmentett  AUTOEXEC.BAT   és
  113.       CONFIG.SYS   is  a   helyére  kerül,   majd  az   OS/2   egy
  114.       hidegindítást csinál. Ezt az eljárást valahogy elfelejtették
  115.       dokumentálni  a  kézikönyvekben.  S  ez  ad  lehetôséget egy
  116.       kiirthatatlan vírusfertôzésre is.
  117.           Ha  DOS-sal  indult  a gép,  és  megfertôzi  eközben egy
  118.       boot-vírus,   akkor   a  boot   szektor   hagyományos  módon
  119.       fertôzötté válik.  Namármost, ha  ezután kiadjuk  a BOOT/OS2
  120.       parancsot, akkor a fertôzött boot szektor kerül  elmentésre.
  121.       Utána pedig  ezt kapjuk  vissza minden  DOS boot átálláskor.
  122.       Eddig egy olyan vírusról  tudunk, ami hasonlóképpen az  OS/2
  123.       bootba képes bemenni, a Formról.
  124.           Van a boot-kezelônek egy másik hívása is, amelyre sem  a
  125.       dokumentáció, sem pedig az eddigi szakirodalom nem utal.  Ez
  126.       a  partíciós  táblát   kezeli.  A  partíciós   tábla  normál
  127.       partíciós   tábla   formátumú.  Viszont   definiál   egy  új
  128.       típusazonosítót  0x0Ah  jelzéssel.  Ugyanakkor  létrehoz egy
  129.       ""valódi" partíciót is, amely  azonban rejtett a normál  DOS
  130.       és OS/2  írás--olvasási mûveletek  elôtt, és  csak közvetlen
  131.       lemezmûveletekkel  érhetô  el. Ez  a  boot-manager partíció,
  132.       amelyen alapjában a rendszerválasztó program mûködik, és itt
  133.       vannak elmentve a boot-változatok is, mintegy 1 Mbyte-on.
  134.           A boot-manager segítségével valósítható meg egy  lemezen
  135.       több operációs  rendszer telepítése.  A rejtett  partícióban
  136.       ugyanis  minden  elmentett  boot  verzió  megtalálható,  s a
  137.       víruskeresô programok  DOS módban  sem juthatnak  be erre  a
  138.       területre.  Ugyanakkor  -- amennyire  az  amerikai és  német
  139.       félhivatalos   számítástechnikai   közleményeket    figyelve
  140.       látható -- az OS/2-nek ez egy olyan sebezhetô pontja,  ahová
  141.       a  másolásvédelemtôl   a  vírusig   minden  problémamentesen
  142.       eldugható.  Ha  az  operációs  rendszert  nem  a  BIOS  boot
  143.       ellenôrzésével, hanem a boot-manager alatt futtatjuk,  akkor
  144.       a Form vírus vígan nevet minden ellene irányuló  kísérleten,
  145.       és terjeszti magát a floppykon. Ez a nagyon titokzatos és  a
  146.       formázást túlélô vírusok legendáját erôsíti.
  147.           Az érdeklôdés a vírusírók és az vírusirtók körében ismét
  148.       az  OS/2  felé fordul.  Annál  is inkább,  mert  itt a  régi
  149.       technológiák   egy   része   továbbélhet,   ugyanakkor    új
  150.       megoldásokat kell találni.  Például olyan víruskeresôket  és
  151.       vírusirtókat kell készíteni, amelyek a boot-manager  rejtett
  152.       területeit is képesek átfésülni. Ugyanakkor eredményesen meg
  153.       kell oldani a  behelyezett floppyk mûködôképes  ellenôrzését
  154.       is. ùj fejezet kezdôdött a vírusháborúk történetében.
  155.  
  156.       @KKis János@N
  157.